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出 厂 况 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
计 息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 荐 乏 , 远 远 不 能 满足 金融 商业 ,公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 ,而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 术 
计 息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
上 性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
入 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 衣 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 专家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 ， 

OD 体系 完整 结构 合理 .内容 先 进 . 

适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

立体 配套 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 ， 

版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遗 选 了 一 批 国 外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 
初 正式 列 人 普通 高 等 教育 十 一 五 国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 


终端 安全 管理 四 可 


妖 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 尝 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 六 信息 安全 专业 指 寻 性 专业 规范 全 制 ” 
的 教学 科 侠 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 和 学校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实 施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 , 殉 服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 局 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 诗 多 融 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信 息 安 全 专业 教学 指导 委员 会 成 立 。 经 组 织 审 查 
和 人 研究 决定 ,2014 年 以 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 名 义 正式 发 布 
《高 等 学 校 信息 安全 专业 指导 性 专业 规范 六 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 * 网 络 空 间 安 全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空 间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简 称 中 央 网 信 办 )、 国 家 发 展 和 改 羊 委员 会 .教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安 全 学 科 建 设 
和 人 才 培 养 的 意见 》( 中 网 办 发 文 [2016]4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 安 
全 专业 教学 指导 委员 会 召开 成 立 大 会 。 为 吐 彻 落实 《4 关于 加 强 网 络 安 全 学 科 建 设 和 人 才 
培养 的 意见 ,进一步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 , 促 
进 网 络 空间 安全 相关 核心 诬 程 和 教材 建设 ,在 教育 部 噩 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 和 中 央 网 信和 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,局 动 了 “网 络 空间 
安全 重点 规划 从 书 ” 的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指导 委员 会 秘书 长 
封 化 民 教 授 担 任 纺 委 会 主任 。 本 规划 丛书 基于 ”局 等 院 校 信息 安全 专业 系列 教材 ?坚实 的 
工作 基础 和 成 果 , 哈 容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教 
育 部 和 中 央 网 信 办 等 机 构 评选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 ”普通 高 等 教育 精 
癌 教 材 莹 中国 大 学 出 版 社 图 书 奖 ”和 ”国家 网 络 安全 优秀 教材 奖 ? 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 4 融 等 学 校 信 息 安 全 专业 指导 性 专业 规范 光 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 人 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 帘 性 ,及 时 反映 教学 改革 和 这 程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完善 ,力争 为 我 国 网 络 空 间 安 全 相关 学 科 专 业 的 本 科 和 全 究 生 教 材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm(Otup.tsinghua.edu.cn ,联系 人 : 张 民 。 


“网 络 空 间 安 全 重点 规划 丛书 编审 委员 会 
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前 言 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安 全 。 

为 了 更 多 .更 快 .更 好 地 培养 网 络 安全 人 才 ,许多 学 校 都 加 大 投入 ,聘请 
优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 。 

网 络 空 间 安 全 专业 建设 需要 体系 化 的 培养 方案 、. 系 统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 网 络 空 间 安全 专业 人 才 的 关键 。 但 是 ,这 是 一 
项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空 间 安 全 的 涉及 面 非常 三, 至 少 
包括 密码 学 、 数 和 学、 计算 机 、 通 信和 工程 等 多 门 学 科 , 因 此 ,其 知识 体系 庞 末 、 难 
以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 , 技 术 发 展 更 新 非常 快 ,对 环境 和 
师资 要 求 也 很 高 。 

“ 终 六 安全 管理 ”是 网 络 空间 安全 和 信息 安全 专业 的 基础 诛 程 ,通过 有 关 
终 妆 安全 涉及 的 知识 领域 的 介绍 ,了解 终 病 安 全 面临 的 安全 威胁 和 当下 终 吴 
安全 管理 方法 , 笔 握 终端 安全 相关 技术 及 应 用 。 因 为 终 病 安全 涉及 的 知识 领 
域 三 ,对 于 涉及 操作 系统 抵 层 守 类 似 内 容 并 没有 深入 介绍 , 仅 做 原理 性 介绍 ， 
读者 可 以 参考 相关 方 回 的 专业 书籍 深入 学 习 。 

本 书 共 分 为 6 草 。 第 1 革 介 绍 终 并 的 基本 知识 ,第 2 曹 介 绍 终端 操作 系 
统 工 作 机 制 ,第 3 革 介 绍 终 端面 临 的 安全 威胁 ,第 4 革 介 绍 终 问安 全 管理 概 
述 ,第 5 草 介绍 终 问 安全 管理 措施 ,第 6 和 草 介 绍 终 闪 安全 管理 典型 案例 。 

本 书 既 适合 作为 蜗 校 网 络 空 间 安 全 ,信息 安全 等 专业 的 教材 ,也 适合 网 
络 安 全 癸 究 人 员 作 为 网 络 空 间 安 全 领域 的 入 门 基础 读物 。 随 着 新 拉 术 的 不 
断 发 展 , 作 者 今后 将 不 断 更 新 本 书 内 容 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 芯 漏 和 不 葡 之 处 ,欢迎 谈 者 批评 指正 。 

作者 在 本 书 编写 过 程 中 ,得 到 以 下 同事 的 帮助 (排名 不 分 先后 ); 张 聪 、 
刘 晓 车 、 朱 志 鹏 、 辣 佳 、 汉 涛 ,在 此 深 表 谢意! 
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在 日 常 工作 ,学习 和 生活 中 ,在 手机 、 银 行 和 政务 等 不 同 场合 ,都 会 听 到 “终端 ?这 个 名 
词 , 终 问 的 使 用 已 经 与 信息 社会 紧密 结合 ,在 某 种 程度 上 ,人 的 生存 已 离 不 开 终 问 。 作 为 
终 闪 的 使 用 者 , 终 六 的 安全 意味 痢 保 护 自 出 的 财产 、 权 利 不 受 和 恶意 的 ,非法 的 攻击 者 侵犯 。 
终 痊 的 概念 涉及 非常 多 的 领域 ,因此 ,在 本 草 中 界定 终 疹 安 全 学 习 的 范围 ,使 得 谈 者 了 解 
定位 和 知识 范畴 。 


1 1 慨 术 


1.1.1 终 病 的 概念 


经 过 近 十 年 的 大 汇 围 网 络 安 全 基础 设施 的 建设 ,国内 企业 安全 防护 系统 经 历 了 一 个 
从 无 到 有 、 从 有 到 全 的 发 展 过 程 。 而 在 各 类 信息 系统 中 ,通常 都 含有 终端 的 概念 。 终 问 的 
定义 也 不 再 仅仅 是 Windows 操作 系统 的 计算 机 ,可 能 是 任何 类 型 的 机 右 , 包 括 : 笔记 本 
电脑 ,台式 计算 机 、 服 务 器 ,移动 智能 设备 、 舱 入 式 设 备 、 数 据 采 集 与 监视 控制 (Supervisory 
Control And Data Acquisition, SCADA ) 系统 ,甚至 物 联 网 (Internet of Things, IoT) 
设备 。 

终端 的 概念 在 不 同行 业 ,不 同 领 域 也 有 着 不 同 的 定义 。 在 通信 行业 ,终端 又 称 为 移动 
终 靖 ,是 指 在 移动 通信 和 网络 中 使 用 的 移动 设备 ,包括 移动 乔 能 终端 (例如 入 能 手机 ) 及 其 他 
具有 类 似 功 能 的 终 噶 设备 ;在 销售 行业 ,终端 是 指 产 品 销售 渠 址 的 最 末端 ,是 产品 到 达 消 
费 者 完成 交易 的 最 终 问 口 ,其 表现 形式 可 以 是 商场 超市、 便利 店 零售 市 场 等 物理 实体 ， 
也 可 以 是 电视 购物 、 网 络 销售 等 虚拟 实体 ;在 金融 行业 , 终 闪 的 表现 形式 包括 日 助 信息 查 
询 机 .上 月 动 柜 员 机 (Automatic Teller Machine,ATM) 等 。 

早期 的 终端 是 指 一 种 输入 输出 设备 ,例如 计算 机 操作 员 控 制 台 的 改进 型 电 传 打字 机 
(如 图 1-1 所 示 )。 终 六 在 计算 机 系统 中 其 功能 仅 限 于 输入 数据 、 显 示 或 打印 输出 数据 。 
为 了 解决 电 传 打字 机 显示 的 问题 ,出 现 了 可 视 化 显示 单元 (使 用 单独 的 逻辑 门 、 简单 集成 
电路 组 成 ) 的 终 问 ,但 功能 仍 与 电 传 打字 机 相同 ,为 了 满足 相关 的 功能 要 求 ,ASCII 字符 
集 、RS-232 .光标 等 通用 标准 和 控制 方法 开始 出 现 并 随 着 类 似 产 品 的 使 用 而 广泛 应 用 。 
在 电子 技术 , 必 片 封装 的 技术 文 持 下 ,终端 开始 内 置 微 处 理 需 ,可 以 自行 处 理 一 些 数据 , 因 
此 被 称 为 智能 终端 ,此 时 的 终端 已 基本 具备 交互 能 力 ,与 现代 终端 的 基本 功能 已 相差 不 
大 。 由 于 终 闯 能 力 的 不 断 发 展 , 出 现 了 “有 翌 终 病 六 瘦 终 病 2 和”“ 哑 终 端的 概念 。 概 要 地 
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说 , 胖 终 病 是 日 喘 具 备 处 理 能 力 的 终端 ;着 终 病 是 日 号 基本 不 具备 人 处 理 能 力 或 者 只 具备 很 
少 的 处 理 能 力 的 终 病 ,主要 依 顿 于 其 连接 的 主 服务 硕 的 处 理 能 力 ; 哑 终 闪 基 本 没有 处 理 能 
力 ,完全 依赖 于 与 它们 相连 的 计算 机 进行 计算 、 存 储 和 检索 , 仅 是 具有 类 似 于 键盘 或 控制 
面板 功能 的 设备 。 


站 
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ee + 
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图 1-1 电 传 打字 机 


随 独 科学 技术 的 发 展 , 分 时 系统 .视频 显示 技术 .电子 技术 逐渐 进入 终端 ,使 得 终端 由 
最 初 的 简单 输入 输出 设备 发 展 成 为 可 以 完成 多 种 多 样 任务 的 信息 处 理 设备 。 终 端 从 电 传 
打字 机 发 展 到 没有 本 地 处 理 能 力 的 打印 终端 \ 通 过 屏 舌 编辑 的 CRT 视频 终端 和 具有 本 
地 图 形 化 用 户 窜 面 的 图 形 终端 。 这 些 终 并 的 共同 点 是 它们 大 多 连接 到 小 型 计算 机 或 大 型 
计算 机 上 ,实际 的 运算 工作 发 生 在 远程 计算 机 中 ,如 图 1-2 所 示 。 


图 1-2 终端 的 发 展 


随 着 电子 技术 的 发 展 、 集 成 电路 的 出 现 和 计算 能 力 的 巨大 增长 ,使 得 现代 计算 机 终端 
也 得 以 迅 独 发 展 , 从 第 一 侣 可 编程 现代 电子 计算 机 ENIAC (Electronic Numerical 
Integrator and Computer ,电子 数值 积分 计算 机 ) 发 展 到 现在 身边 随处 可 见 的 各 种 类 型 的 
终 病 。 终 端 已 经 融 人 人 们 日 痢 工 作 、 生 活 .学 习 之 中 ,信息 量 随 之 爆发 式 增 长 ,恶意 攻击 、 
利用 敏感 信息 的 信息 安全 事件 频 发 ,因此 ,了 解 终端 的 安全 十 分 必要 。 


1.1.2 终端 的 角色 


从 终 闯 在 信息 系统 中 所 处 的 环境 来 看 ,终端 环境 有 狭义 和 广义 之 分 。 狭 义 的 终 半 环 
境 是 指 单一 终 庙 和 所 处 的 周边 环境 ,包括 终端 目 身 的 运行 环境 和 终端 上 的 应 用 环境 ;三 义 
二 
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的 终 闹 环境 是 指 终 咽 及 终 问 所 处 的 网 络 环境 ,终端 是 该 环境 中 的 一 个 因子 ,与 网 络 中 其 他 
因子 相互 作用 和 影响 。 

终端 是 信息 系统 中 重要 的 组 成 部 分 ,攻击 终 问 和 利用 终端 实施 攻击 的 信息 安全 事件 
逐年 增加 ,终端 安全 问题 日 益 凸 显 。 目 然 环 境 、 恶 意 攻击 着 的 攻击 行为 .信息 成 .恶意 软件 
等 是 终 病 安全 问题 的 外 部 因 系 , 终 闯 目 身 存 在 的 各 种 设计 和 缺陷、 漏洞、 无 效 或 低 效 的 管理 
措施 等 是 终端 安全 问题 的 内 部 因素 。 由 于 信息 系统 的 应 用 和 业务 信息 化 的 需求 ,使 得 终 
疾 的 使 用 从 个 体 独 立 运 行 转变 为 群体 协作 ,按照 不 同 的 功能 和 用 途 承 担 了 不 同 的 角色 ,和 终 
疡 之 间 的 相互 作用 、 相 互 影响 的 程度 越 来 越 局 , 终 妆 之 间 的 关联 也 越 来 越 和 案 密 。 终 闪 是 信 
恩 系 统 中 信息 的 起 点 和 终点 ,也 是 各 类 业务 \ 数 据 的 最 终 体现 和 承载 者 。 

终 病 作为 整个 网 络 空间 的 “最 后 一 公里 ”, 是 攻击 者 攻击 的 主要 目标 ,对 终端 的 安全 防 
护 尤 为 重要 。 尤 其 是 对 于 关键 信息 基础 设施 而 言 , 一 旦 茶 个 关键 入 点 的 终 靖 沦陷 ,对 其 所 
属 的 信息 系统 甚至 是 国家 层面 的 信息 系统 造成 的 影响 将 无 法 估量 。 总 而 言 之 ,终端 安全 
关系 到 信息 系统 的 整体 安全 ,也 是 安全 产品 防护 的 重点 目标 和 核心 价值 的 表现 。 


12 ”终端 类 型 


终端 可 以 从 多 种 角度 进行 分 类 ,第 见 的 分 类 方法 是 按照 大 小 、 功 能 和 使 用 方式 等 进行 
分 类 。 


1.2.1 按 大 小 分 类 
终端 按 大 小 可 以 分 为 以 下 4 类 ， 


1. 微型 计算 机 终端 

微型 计算 机 终 问 是 目前 最 常见 的 终端 类 型 。 随 看 基于 单 蕊 片 微 处 理 带 系统 的 出 现 ， 
还 出 现 六 微型 计算 机 ?的 概念 。 微 型 计算 机 终 闪 包括 以 下 几 种 : 

(1) 台式 终 问 。 放 置 在 虹 子 或 工作 台 上 的 个 人 计算 机 ,通常 是 有 尺寸 和 功率 的 限制 
的 ,也 是 和 常 见 的 终端 类 型 之 一 。 其 外 形 尺 寸 可 能 会 有 所 不 同 ,具体 取决 于 主机 所 需 的 扩展 
模 。 还 有 的 台式 终端 将 所 有 硬件 集成 到 监视 带 中 , 称 为 一 体 机 。 

(2) 机 架 式 终端 。 这 些 终端 通常 安装 于 机 架 ( 也 称 为 机 柜 , 常 见 的 机 架 为 19in2 宽 
的 ) ,外 形 进 行 了 空间 优化 ,整体 非常 平整 ,而 且 通 党 没有 专用 的 显示 副 \ 键 盘 和 鼠标 , 仅 在 
需要 时 再 连接 相关 的 设备 。 

(3) 车 载 终端 。 内 置 于 汽车 中 的 专用 终端 ,由 于 其 染 构 也 是 基于 计算 机 的 ,所 以 通常 
具有 许多 标准 接口 ,例如 蓝牙 .USB(Universal Serial Bus ,通用 串 行 总 线 ) 和 WiFi( 无 线 局 
域 网 标准 ) ,可 以 用 于 丰 辆 的 控制 、 娱 乐 . 导航 等 ,也 是 车 联网 的 重要 基础 设备 之 一 。 

(4) 游戏 机 。 专 为 娱乐 目的 而 构建 的 固定 计算 机 ,此 类 终端 设备 在 游乐 场 中 更 为 多 
见 ,例如 融 速 .射击 等 视频 类 游戏 的 游戏 机 。 


中 lin=2.54cm, 
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(5) 移动 终端 。 也 称 为 移动 设备 ,是 外 形 更 为 小 型 化 的 微型 计算 机 ,这 类 设备 包含 笔 
记 本 电脑 .平板 电脑 . 千 能 手机 、 千 能 本 、PDA(Personal Digital Assistant, 个 人 数字 助 
理 )、 委 上 游戏 机 等 。 

2. 小 型 计算 机 终端 

小 型 计算 机 终端 是 一 类 介 于 大 型 计算 机 和 单 用 户 系 统 ( 微 型 计算 机 或 个 人 计算 机 ) 之 
间 的 多 用 户 终 端 系统 。 通 篆 此 类 终 闪 的 外 形 是 塔 式 或 机 架 式 的 ,如 图 1-3 所 示 。 


图 1-3 IBM 公司 的 小 型 计算 机 终端 


3. 大 型 计算 机 终端 

大 型 计算 机 终端 为 关键 应 用 提供 实时 数据 处 理 及 大 数据 处 理 能 力 。 例 如 ,对 大 数据 
的 处 理 ,场景 包括 人 口 普查 .工业 和 消费 者 统计 、 企 业 资 源 规划 等 ;实时 数据 处 理 ,场景 包 
括 股市 .期 贯 等 。 大 型 计算 机 终 闪 第 用 于 政府 、 银行 和 大 型 企业 ,可 以 一 次 啊 应 大 量 用 户 ， 


通常 以 MIPS(Million Instructions Per Second ,每 秒 百 万 条 指令 ) 这 个 指标 来 衡量 性 能 ， 
如 图 1-4 所 示 。 


Sp 


公司 的 
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4. 超级 计算 机 终端 

超级 计算 机 终端 主要 用 于 数值 计算 ,例如 量子 力学 .天气 预 报 .流体 动力 学 .理论 天 体 
物理 学 以 及 复 洒 的 科学 计算 任务 等 。 超 级 计算 机 终端 以 计算 能 力作 为 衡量 性 能 的 不 度 ， 
处 理 速 度 以 每 秒 浮 点 运算 次 数 (Floating point Operations Per Second,FLOPS) 来 衡量 ， 
这 也 是 它 与 大 型 计算 机 终端 相 区 别 的 特征 。 浮 点 运算 的 一 个 例子 是 实数 (是 有 理 数 和 无 
理 数 的 总 称 ) 的 数学 方程 的 计算 。 超 级 计算 机 终端 的 功能 非常 强大 ,在 计算 能 力 、 内 存 大 
小 .速度 .存储 能 力 .IO 技术 以 及 市 宽 和 延 开 等 方面 需要 专门 的 配置 和 优化 , 通 稍 采用 集 
群 、 堆 和 登 .并行 设计 、 分 布 式 等 技术 ,硬件 成 本 也 非常 高 , 通 第 只 执行 批 处 理 或 事务 处 理 , 成 
本 效益 并 不 高 。 我 国 在 超级 计算 机 领域 比较 着 名 的 有 天 河 ` 太湖 之 光 等 ,如 图 1-5 所 示 。 


Wt 
. 二 一 一 


图 1-5 ”天河 二 号 超级 计算 机 


1.2.2 按 功 能 分 类 
终端 按 功 能 可 以 分 为 以 下 4 类 ， 


1. 服务 希 终 端 

服务 天 终 端 通 稼 是 指 专门 提供 一 个 或 多 个 服务 的 计算 机 ,例如 ,专用 于 数据 库 的 数据 
库 服 务 亏 ,用 于 管理 大 量 计算 机 文件 的 文件 服务 奉 , 提 供 网 页 和 Web 应 用 程序 服务 的 
Web 服务 各 。 在 很 多 中 小 组 织 机 构 中 ,也 使 用 微型 计算 机 终端 安 婆 相应 的 服务 应 用 程 
序 ,作为 服务 器 终端 来 使 用 。 除 此 之 外 ,还 有 一 些 特 殊 的 服务 器 ,例如 

(1) 终端 服务 器 。 它 是 在 局 域 网 中 为 使 用 RS-232、RS-422 或 RS-485 串 行 接口 的 终 
哗 提供 通信 协议 转换 服务 的 设备 。 终 端 服务 需 基 本 上 是 一 个 异步 多 路 复 用 怖 , 它 不 仅 连 
接 串 行 接口 设备 ,而且 将 计算 机 终端 .调制 解 调 需 .打印 机 和 其 他 外 设 连 接 到 该 系统 中 。 
终端 服务 病 的 主要 应 用 场 隶 是 使 串 行 设备 能 够 访问 网 络 服务 天 应 用 程序 ,应 用 程序 提供 
图 形 用 户 界 面 (Graphical User Interface,GUJI) ,客户 山上 仅 显 示 屏 丸 ( 或 包含 音频 ) 输 出 ， 
使 得 客户 端 获 得 与 远程 操作 服务 需 一 样 的 感受 。 应 用 程序 在 应 用 服务 器 上 运行 ,数据 存 
储 在 应 用 服务 器 或 数据 服务 器 中 。 如 果 客 户 端 由 于 某 种 原因 损坏 ,并 不 会 对 数据 和 业务 
造成 影响 。 

(2) 虚拟 机 服务 硕 。 此 类 服务 亏 可 以 为 不 同 的 服务 用户 提供 虚拟 机 (Virtual 
Machines,VM) ,可 以 同时 运行 不 同 的 操作 系统 (Operating System,OS) ,用 户 感 党 像 在 
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专用 硬件 上 运行 一 样 。 这 种 服务 硕 需 要 特殊 的 便 件 文 持 (虚拟 化 技术 ) 才 能 发 挥 作 用 , 初 
期 仅 存 在 于 大 型 计算 机 领域 。 而 今 , 大 多 数 个 人 计算 机 都 配备 了 这 项 技术 ,使 得 个 人 计算 
机 也 可 以 充当 虚拟 机 服务 右 ,运行 虚拟 机 。 但 对 于 需要 长 期 运行 的 系统 或 关键 系统 ,仍然 
家 要 专门 的 服务 妖 便 件 来 支撑 相关 的 业务 。 

2. 工作 站 终端 

工作 站 终端 是 旨 在 为 单个 用 户 提供 服务 的 计算 机 ,可 能 包含 个 人 计算 机 终端 上 没有 
的 特殊 人 硬件 增强 功能 。 工 作 站 终端 提供 比 主流 个 人 计算 机 终端 更 高 的 性 能 ,特别 是 在 
CPU 图形 处 理 . 内 存 容 量 和 多 任务 处 理 能 力 等 方面 。 工 作 站 终 闪 针对 不 同类 型 的 复杂 
数据 的 可 视 化 和 操作 进行 了 优化 ,例如 3D 机械 设计 ,流体 动力 学 工程 模拟 ,动画 和 演 染 
等 。 此 类 终 闪 处 理性 能 硬件 配置 等 方面 都 非常 强大 ,也 可 以 称 为 胖 终 病 。 

与 此 相反 的 工作 站 终端 是 瘦 终 端 ,这 类 工作 站 终端 追求 的 是 尽 可 能 低 的 成 本 而 不 是 
性 能 , 通 第 的 方法 是 取消 本 地 存储 功能 ,并 将 终端 便 件 减少 到 仅 保 留 处 理 融 、 键 盘 、 忌 标 和 
显示 大 。 在 某 些 情况 下 ,这 些 终端 仍 运行 传统 操作 系统 并 在 本 地 执行 计算 ,在 远程 服务 带 
上 存储 ,因此 被 称 为 无 盘 工 作 站 。 在 此 基础 上 还 有 一 些 变 种 ,例如 堆 终 端 、. 哑 终 闪 等 。 和 雪 
终 闪 也 称 为 超 瘦 终 病 ,不 包含 任何 移动 部 件 , 将 所 有 处 理 和 存储 都 集中 到 服务 郝 上 运行 ， 
因此 , 它 不 需要 安 效 本 地 驱动 程序 ,无 须 升 级 程序 ,也 无 顷 文 付 本 地 操作 系统 许可 费用 。 
由 于 它 完 全 无 法 在 本 地 存储 任何 数据 ,因此 是 非常 安全 的 病 点 。 旺 终 病 与 瘦 客 户 端 一 梓 ， 
基本 上 没有 任何 本 地 处 理 能 力 , 不 支持 外 设 , 可 以 理解 为 类 似 于 1.1.1 节 中 介绍 的 电 传 打 
字 机 。 


3. 信息 家 电 终 端 

言 县 家 电 (Information Appliance,1A) 终 问 是 一 种 可 以 处 理 信 息 、 人 信号、 图形 、 动 画 、 
视频 和 音频 的 任何 设备 ,并 可 以 与 其 他 IA 设备 交换 此 类 信息 。 其 核心 用 途 是 执行 特定 
的 “用 户 友 好 ?功能 ,例如 播放 音乐 .摄影 或 编辑 文本 ,而 不 是 作为 通用 的 个 人 计算 机 。 简 
而 言 之 ,所 有 能 够 通过 网 络 交互 信息 的 家 电 产 品 都 可 以 称 为 信息 家 电 终 端 。 因 此 ,信息 家 
电 终 端 可 以 宽泛 地 包括 智能 冰箱 .智能 洗衣 机 、 智 能 空调 .智能 微波 炉 等 智能 白色 家 电 产 
品 ,也 包括 管 能 数字 电视 .智能 音 啊 等 智能 黑色 家 电 产 品 , 还 包括 个 人 计算 机 、 机 顶 盒 、 移 
动 智能 终端 ,视频 游戏 设备 等 。 而 且 这 一 概念 还 在 不 断 进 化 ,出 现 了 以 网 络 互联 为 基础 的 
智能 家 居 ,信息 家 电 终 端 已 经 逐步 走 人 日 常生 活 中 。 


4. 藤 入 式 终端 

藤 入 式 终 问 是 用 于 满足 特定 应 用 场景 的 党 求 的 计算 机 终 融 , 它 执 行 存储 在 非 多 失 性 
存储 占 中 的 程序 ,并 且 仪 用 于 操作 特定 的 机 器 或 设备 。 骸 入 式 终 端 常 见 的 表现 形式 是 微 
控制 器 ,例如 ,汽车 可 能 包含 许多 微 控制 器 ,而 微波 炉 可 能 只 包含 一 个 微 控 制 器 。 另 一 种 
比较 典型 的 磐 人 人 式 终 端 是 便携 式 计 算 需 , 它 仅 有 液晶 显示 屏 和 按键 ,只 能 完成 数学 计算 

租 人 式 终 病 有 几 个 很 明显 的 特征 : 

(1) 专用 性 强 。 由 于 鹃 入 式 系 统 基 本 上 均 为 定制 化 产品 ,与 便 件 的 契合 非常 紧密 ,所 
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以 即使 在 同一 品牌 、 同 一 系列 的 产品 中 ,也 需要 根据 系统 硬件 的 变化 和 功能 的 增 减 不 断 进 
行 修 改 。 

(2) 结构 精简 。 骨 人 式 终 端的 系统 资源 相对 有 限 , 要 求 其 功能 设计 及 实现 上 不 能 过 
于 复杂 ,因此 对 于 不 必要 的 功能 基本 都 不 予 保留 ,这 有 利于 控制 系统 成 本 ,也 利于 实现 系 
流 雪 全 ， 

(3) 有 限 交 互 。 般 入 式 终 端 大 多 采用 各 类 开关 .按键 .指示 灯 、 显 示 屏 等 装置 完成 与 
用 户 的 妈 互 ,通常 使 用 的 是 实时 操作 系统 (Real-Time Operation System,RTOS) ,能够 即 
时 地 对 输入 (例如 用 户 操作 .传感器 信号 等 ) 进 行 响 应 输出 (例如 显示 信息 .启动 某 动 作 
等 )。 例 如 ,洗衣 机 控制 面板 上 按键 .旋钮 和 指示 灯 即 可 完成 与 用 户 的 交互 :医疗 设备 可 能 
使 用 市 触 措 感应 或 屏 融 边缘 按钮 的 图 形 屏 项 完 成 指定 功能 的 操作 ,或 者 按钮 的 含义 可 随 
功能 而 变化 ,选择 指 问 所 需 内 容 的 动作 ， 

(4) 需要 专用 开发 工具 和 方法 进行 设计 开发 。 通 常 矢 人 式 系统 采取 固态 存储 ,将 系 
统 存储 于 非 易 失 性 存储 器 (ROM、EPROM 、EEPROM、Flash) 芯 片 中 ,对 软件 代码 的 要 求 


是 高 质量 和 高 可 靠 性 。 
1.2.3 按 使 用 方法 分 类 
终端 按 使 用 方法 可 以 分 为 以 下 4 类 ， 


1. 公用 终端 

公用 终端 主要 供 公 共 使 用 ,可 能 的 场景 是 交互 式 的 信息 终 问 ,例如 电子 政务 查询 、 图 
书馆 文献 查询 等 。 它 们 通常 仪 限 于 运行 预 安 冯 的 软件 ,并 且 不 保存 用 户 的 数据 文件 。 男 
外 还 有 一 种 在 院 校 .教育 机 构 中 和 常见 的 应 用 场景 ,实验 室 中 的 计算 机 终端 在 每 次 实验 课程 
之 前 会 使 用 还 原 卡 之 类 的 技术 使 其 重 置 为 初始 状态 。 


2. 个 人 计算 机 终端 

个 人 计算 机 终端 用 户 通常 可 以 使 用 该 终端 的 所 有 硬件 资源 ,可 以 完全 访问 终端 的 任 
何 部 分 ,根据 个 人 的 需求 有 权 安 装 / 删 除 软件 。 个 人 计算 机 终端 通常 存储 个 人 文件 数据 ， 
并 且 由 个 人 负责 管理 和 维护 ,例如 ,删除 不 需要 的 文件 和 病毒 扫描 ,修改 登录 口令 。 在 组 
织 机 构 中 ,由 于 业务 关系 ,会 为 员工 分 配 计算 机 终端 ,但 这 类 终端 通常 会 由 组 织 中 的 运 维 
工作 人 员 提 供 相关 的 服务 ,以 确保 正确 维护 ;在 组 织 机 构 中 还 会 有 BYOD(Bring Your 
Own Device, 自 带 设备 ) ,这 类 设备 通常 是 员工 自身 拥有 的 ,也 属于 个 人 计算 机 终端 的 
范畴 。 

3. 共享 终端 

共享 终端 (或 工作 站 ) 是 供 不 同 的 使 用 者 在 不 同时 间 登 录 使 用 的 计算 机 终端 。 与 公用 
终端 不 同 的 是 ,这 类 终端 的 用 户 名 和 密码 会 长 期 保持 ,使 用 者 看 到 的 文件 和 设置 都 是 根据 
他 们 的 特定 账户 进行 调整 的 结果 。 通 常 ,重要 的 数据 文件 存储 在 中 央 服 务 器 上 ,因此 使 用 
者 可 以 登录 到 不 同 的 共享 终端 ,但 仍然 可 以 看 到 相同 的 文件 。 共 享 终端 大 部 分 是 瘦 客 户 
端 , 它 可 能 拥有 自己 的 磁盘 用 于 存储 某 些 或 所 有 系统 文件 ,但 自身 没有 或 仅 有 很 弱 的 数据 
处 理 能 力 ,通常 需要 连接 到 服务 器 ,运算 .数据 处 理 主要 依靠 服务 器 来 完成 。 这 类 终端 多 
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用 于 超市 .银行 .公务 服务 等 行业 或 机 构 。 例 如 ,超市 中 用 于 结算 的 收银 终 病 由 多 个 收银 
员 分 时 段 登录 使 用 ,银行 .公务 服务 人 员 需 要 登录 服务 窗口 配置 的 终端 后 才能 使 用 终端 。 


4. 展示 终端 

展示 终端 是 用 于 在 商店 、 会 议 或 服务 机 构 中 展示 多 媒体 内 容 ( 通 常 是 视 音频 文件 或 纪 
灯 片 ) 的 终端 。 这 些 计算 机 一 般 会 接 入 WiFi, 因 此 可 以 上 网 ,它们 很 少 配 有 防火 墙 (但 会 
限制 端口 访问 或 以 某 种 方式 监控 ) 。 此 类 终端 作为 展示 设备 来 使 用 和 维护 ,通常 不 用 于 数 
据 处 理 、 重 要 数据 存储 等 用 途 。 


医 终端 的 组 成 


终端 从 总 体 来 看 可 以 概要 地 分 为 3 个 组 成 部 分 ; 硬件 软件. 用户， 
1.3.1 硬件 


终 闹 的 便 件 是 组 成 终端 有 形 的 各 类 物理 部 件 的 总 称 , 在 逻辑 结构 上 包括 CPU、 内 存 、 
输入 输出 设备 ,存储 设备 等 ,在 物理 结构 上 包括 (但 不 限于 ) 机 箱 、 主 板 .CPU、 显 示 带 \ 键 
盘存 储 设 备 、 显 示 卡 .声卡 等 。 所 有 现代 计算 机 都 遭 循 冯 “， 诺 依 曼 (Von Neumann) 架 
构 , 由 以 下 部 分 组 成 : 包含 算术 /逻辑 单元 和 控制 单元 的 中 央 处 理 单元 .用 于 存储 数据 和 
指令 的 存储 器 ,输入 设备 和 输出 设备 ,如 图 1-6 所 示 。 关 于 计算 机 系统 架构 方面 的 知识 ， 
感 兴趣 的 读者 可 参考 计算 机 系统 方面 的 书籍 。 


中 央 处 理 单元 


控制 单元 
异 木 /还 辑 单 元 


条 出 设备 


图 1-6 汉 “， 诺 依 曼 架 构 


随 着 科技 的 发 展 , 终 端 由 最 初 用 于 辅助 主机 完成 简单 输入 输出 的 设备 逐步 转变 为 主 
要 的 功能 载体 。 为 完成 赋予 终端 的 各 种 任务 ,终端 的 设计 者 、 使 用 者 通过 为 终端 添加 辅助 
设备 来 加 强 终端 的 功能 ,这 些 辅助 设备 通常 称 为 外 部 设备 (简称 外 设 ) 。 外 设 种 类 繁多 , 功 
能 各 异 ,很 多 外 设 具备 多 种 功能 。 在 终端 安全 中 ,对 外 设 的 管理 是 非常 重要 的 一 环 。 下 面 
对 终端 中 的 外 部 设备 进行 概要 性 介绍 。 


1. 接口 
第 见 的 接口 有 以 下 11 种 。 


1) PS/2 接口 

PS/2 接口 是 一 个 6 针 小 型 DIN 连接 需 , 如 图 1-7 所 示 , 用 于 将 键盘 和 鼠标 连接 到 计 
算 机 系统 。PS/2 这 个 名 称 源 于 IBM 公司 的 Personal System/2 系列 个 人 计算 机 的 鼠标 
和 键盘 连接 硕 。PS/2 虽然 在 现代 主板 上 仍然 保留 者 ,但 通常 使 用 USB 接口 连接 键盘 和 
鼠标 。PS/2 接口 因 企 业 环 境 中 的 安全 原因 而 受到 青睐 ,在 完全 禁用 USB 接口 ` 阻止 任何 
USB 可 移动 磁盘 和 恶意 USB 设备 的 连接 时 , 仍 可 以 使 用 PS/2 接口 连接 鼠标 和 键盘 。 


一 


图 1-7 PS/2 接口 


PS/2 接口 并 不 文 持 热 搬 拔 , 因 此 在 开机 后 捅 拔 PS/2 设备 可 能 会 导致 终端 设备 接口 
损坏 。 同 时 ,由 于 PS/2 接口 在 设计 上 并 不 用 于 经 凋 搬 人 或 拔 出 ,而 且 接 口 是 有 方向 性 
的 ,因此 在 插 拔 此 类 设备 时 容易 出 现 插 针 弯曲 或 折断 的 情况 ,导致 设备 损坏 。 

2) USB 接口 

USB 是 连接 终端 与 外 部 设备 的 一 种 串口 总 线 标准 ,也 是 一 种 输入 输出 接口 的 技术 规 

范 , 其 标志 如 图 1-8 所 示 。USB 接口 支持 即 插 即 用 和 热 插 
拔 功能 ,因此 被 让 泛 地 应 用 于 个 人 计算 机 和 移动 设备 等 信 ppp 天 
旧 与 通信 产品 中 ,并 扩展 至 摄影 项 材 、 数 字 电 视 ( 机 顶 盒 )、 
游戏 机 . 物 联网 等 相关 领域 图 1-8 USB 标志 

USB 于 1994 年 开始 人 猎 发 ,并 在 1996 年 推出 USB 1.0 
标准 ,用 于 规范 计算 机 与 外 部 设备 的 连接 和 通信 。USB 版 本 经 历 了 多 年 的 发 展 ,到 如 今 
已 经 发 展 为 3.2 版 本 ,如 表 1-1 所 示 。 


表 1-1 USB 版 本 
版 本 发 布 时 间 最 大 传输 率 
USB 1.0 1996 年 1 月 12Mb/s 
USB 1.1 1998 年 8 月 12Mbys 
USB 2.1 480Mb/ 


UsSB 3.0 2008 年 11 月 5Gb/s 


USB 3.1 2013 年 7 月 10Gby/s 


USB 3.2 2017 年 9 月 20Gb/s 


USB 1.0 是 在 1996 年 正式 推出 的 ,传输 率 为 1.5Mb/s( 低 速 ) 和 12Mb/s( 全 速 ) 
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功率 限制 等 方面 的 原因 ,USB 1.0 不 允许 使 用 延长 线 统 。 在 1998 年 升级 为 USB 1.1 之 
前 ,很 少 有 USB 设备 投放 市 场 。USB 1.1 发 布 后 ,其 传输 率 全 面 提 升 到 12Mb/s, 很 多 计 
算 机 外 部 设备 开始 广泛 采用 USB 1.1 标准 。 

USB 2.0 于 2000 年 4 月 发 布 。 它 的 传输 率 达 到 了 480Mby/s( 高 速 )。 由 于 总 线 访 问 
限制 ,高 速 信 令 速率 的 有 效 否 吐 量 限制 为 280Mb/s 或 35MB/s, 足 以 满足 大 多 数 外 设 的 传 
输 率 要 求 。USB 2.0 中 的 增强 主机 控制 器 接口 (EHCID) 定 义 了 一 个 与 USB 1.1 兼容 的 架 
构 ,提供 12Mb/s 的 USB 1.x 全 速 信 令 速率 。 它 可 以 用 USB 2.0 的 驱动 程序 驱动 USB 1. 
1 设备 ,所 有 文 持 USB 1.1 的 设备 都 可 以 直接 在 USB 2.0 的 接口 上 使 用 ,而 不 必 担 心 羔 容 
性 问题 ,而且 USB 线 ,插头 每 附件 也 都 可 以 直接 使 用 。 

USB 3.0 由 Intel、 微 软 、 惠 普 、 德 州 仪器 .NEC.、ST-NXP 等 业界 巨头 组 成 的 USB 3.0 
Promoter Group 负责 制定 标准 ,随后 转移 至 USB Implementers Forum (USB-IF) 进 行 管 
理 , 于 2008 年 11 月 发 布 。USB 3.0 的 理论 速度 为 5Gb/s ,实际 应 用 中 取决 于 诸多 因素 ， 
包括 编码 万 式 、 链 路 开销 守 , 通 和 只 能 达到 理论 全 的 一 半 左 右 。 

USB 标准 规范 的 接口 分 为 A 型 和 B 型 。 随 着 多 用 途 USB 接口 的 出 现 , 采 用 USB 接 
口 的 异型 应 用 也 逐步 显现 。USB 接口 类 型 如 表 1-2 所 示 。 

表 1-2 USB 接口 类 型 


接口 类 型 USB 1.0 USB 2.0 USB 2.0 修订 版 USB 3.1/3.2 


标准 


Mini-AB 
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续 表 


接口 类 型 USB 1.0 USB 2.0 USB 2.0 修订 版 USB 3.1/3.2 


Type-C 


3) IEEE 1394 接口 

IEEE 1394 接口 俗称 火线 (FireWire) 接 口 , 是 由 苹果 公司 领导 的 开发 联盟 开发 的 一 
种 高 速度 传送 接口 ,主要 用 于 视频 的 采集 ,和 常见 于 主板 与 数码 摄像 机 上 。IEEE 1394 接口 
扩展 卡 如 图 1-9 所 示 。 

IEEE 1394 接口 的 特点 结 如 下 : 

(1) 高 传输 率 。IEEE 1394 一 1995 中 规定 传输 率 为 100 一 400Mb/s。IEEE 1394b 一 
2002 中 更 高 的 传输 率 是 800Mb/s( 例 如 火线 800 接口 ,如 图 1-10 所 示 ) 一 3.2Gb/s( 火 线 
S3200 接口 ) 。 实 际 传输 的 数据 一 般 都 要 经 过 压缩 处 理 , 并 不 是 直接 传输 原始 视频 数据 。 
因此 ,200MPbys 已 经 是 能 够 满足 实际 需要 的 传输 率 。 但 对 多 路 数字 视频 信号 传输 来 说 ， 
传输 率 总 是 越 高 越 好 。 


> 


图 1-9 IEEE 1394 接口 扩展 卡 图 1-10 ”火线 800 接口 


(2) 实时 性 。IEEE 1394 接口 的 特 点 是 利用 等 时 性 传输 来 你 证 实时 性 ,信号 线 统 由 4 


根 信号 线 与 2 根 电源 线 构 成 ,使 得 安放 .使 用 十 分 简单 。IEEE 1394 接口 可 以 同时 使 用 异 
步 和 同步 传输 方式 ,为 了 支持 这 种 功能 ,IEEE 1394 接口 将 一 定 百分比 的 传输 时 间 用 于 同 
步 数据 ,其 余 传输 时 间 用 于 异步 数据 。 在 IEEE 1394 接口 中 ,80% 的 总 线 保留 用 于 等 时 
周期 ,使 异步 数据 至 少 占 总 线 的 20%。 

(3) 总 线 结 构 。IEEE 1394 接口 采用 串 行 总 线 工 作 方 式 , 以 树 形 拓扑 结构 在 总 线 上 
组 织 。IEEE 1394 接口 回 各 装置 传送 数据 时 ,不 是 像 网 络 那样 通过 输入 输出 方式 传送 数 
据 ,而 是 按 IEEE 1212 标准 读 / 写 列 人 转换 的 空间 。IEEE 1394 总 线 和 和 常见 的 USB 总 线 的 
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不 同 之 处 在 于 : IEEE 1394 总 线 是 一 个 对 等 的 总 线 , 总 线 上 的 任何 一 个 设备 都 可 以 主动 
发 出 请 求 ;而 USB 总 线 上 的 设备 则 需要 总 线 控 制 硕 控制 相应 的 动作 。 因 而 ,IEEE 1394 
设备 更 加 智能 化 ,也 更 复杂 。 总 线 决 定 哪个 节点 在 什么 时 间 传 输 数 据 的 过 程 称 为 仲裁 。 
每 轮 仲 裁 持 续 时 间 约 为 125ps, 在 该 轮 仲 裁 期 间 , 根 贡 点 ( 离 处 理 需 最 近 的 设备 ) 发 送 循环 
开始 分 组 ,所 有 需要 传输 数据 的 节点 都 啊 应 ,最近 的 节点 获胜 。 该 节点 完成 传输 后 ,其余 
节点 按 顺 序 轮流 传输 数据 。 这 一 过 程 重 复 进 行 ,直到 所 有 设备 都 使 用 了 125ps 中 的 一 部 
分 。 在 这 个 过 程 中 ,同步 传输 具有 优先 权 。 

(4) 热 插 拔 。IEEE 1394 设备 可 以 市 电 择 拔 。 增 加 、 拆 除 IEEE 1394 设备 时 不 必 关 
财 电 源 ,操作 简单 方便。 

(5) 即 插 即 用 。 增 加 新 装置 不 必 设 定 ID, 可 自动 予以 分 配 。 每 当 有 新 的 设备 接 入 某 
个 IEEE 1394 接口 时 ,总 线 将 会 举行 一 个 “欢迎 仪式 ”, 这 是 总 线 目 发 的 ,和 主机 没有 天 
系 , 称 为 总 线 复 位 (bus reset)。 在 这 个 过 程 中 ,所 有 设备 重新 给 日 己 合 名 (节点 标识 ,node 
ID)。IEEE 1394 设备 的 命名 机 制 很 简单 ,从 0 开始 ,最 多 到 62 ,一般 叶子 厄 点 的 ID 小 ， 
根 节点 的 ID 最 大 。 

4) 串 行 接口 

串 行 接口 (serial interface) 和 何 称 串口 ,也 称 串 行 通 信和 接口 (通常 指 COM 接口 ), 是 采 
用 串 行 通信 方式 的 扩展 接口 。 串 行 接 口 一 位 一 位 地 按 顺 序 传送 数据 ,其 特点 是 通信 线路 
简单 ,只 要 一 对 传输 线 就 可 以 实现 双 加 通信 (普通 电话 线 即 可 传输 ), 从 而 大 大 降低 了 成 
本 ,特别 适用 于 远 距 离 通 信 , 但 传输 率 较 低 。 

捉 行 接口 的 出 现 是 在 1980 年 前 后 ,传输 率 是 115~~230kb/s。 最 初 设计 串 行 接口 的 
目的 是 连接 计算 机 外 设 ,一 般 用 来 连接 鼠标 和 外 置 调 制 解 调 器 等 外 部 设备 。 串 行 接口 也 
可 以 应 用 于 两 台 计 算 机 (或 设备 ) 之 间 的 互 连 及 数据 传输 。 巾 于 串 行 接口 不 文 持 热 搬 拔 且 
传输 率 较 低 ,部 分 新 主板 和 大 部 分 便携 计算 机 已 取消 该 接口 。 目 前 串 行 接口 多 用 于 工控 
和 测量 设备 以 及 部 分 通信 设备 中 。 

串 行 接口 接 插 件 外 形 如 图 1-11 所 示 。 


图 1-11 串 行 接口 接 搬 件 


串 行 接口 按 电 气 标 准 及 协议 来 分 ,包括 RS-232-C、RS-422、RS-485 等 。 这 几 个 标准 
只 对 串 行 接口 的 电气 特性 做 出 规定 ,不 涉及 接 择 件 . 电 缆 或 协议 。 

RS-232 也 称 标 准 串 行 接口 ,是 最 常用 的 一 种 串 行 通信 接口 。 它 是 在 1970 年 由 美国 
电子 工业 协会 联合 贝尔 系统 公司 .调制 解 调 融 三 家 及 计算 机 终端 生产 三 家 共同 制定 的 用 
于 串 行 通信 的 标准 。 它 的 全 名 是 《数据 终 闪 设备 和 数据 通信 设备 之 间 串 行 二 进 制 数 据 交 
换 接 口技 术 标准 》。 传 统 的 RS-232-C 接口 标准 有 22 根 线 ,采用 标准 25 芯 D 型 插座 
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(DB25) ,后 来 向 化 为 9 必 D 型 插座 (DB9) ,25 必 揪 座 已 很 少 采 用 。 

RS-232 接口 是 为 点 对 点 ( 即 只 用 一 对 收发 设备 ) 通 信和 而 设计 的 ,采取 不 平衡 传输 方 
式 , 即 所 谓 单 端 通信 。 由 于 其 驱动 器 负载 为 3 一 7kQ ,发 送 电 平 与 接收 电 平 的 差 仅 为 2 一 
3V, 所 以 其 共 模 抑制 能 力 差 ,再 加 上 双 绞 线 上 的 分 布 电容 的 影响 ,所 以 其 传送 距离 最 大 
约 为 15m ,最 高 传输 率 为 20kby/s, 适 合 本 地 设备 之 间 的 通信 。 

RS-422 标准 的 全 称 是 4 平衡 电压 数字 接口 电路 的 电气 特性 》, 它 定义 了 接口 电路 的 特 
性 。 典 型 的 RS-422 接口 是 四 线 接口 ,实际 上 还 有 一 根 信 号 地 线 , 共 5 根 线 。 由 于 接收 需 
采用 高 输入 阻抗 和 发 送 驱 动 器 , 比 RS-232 接口 具备 更 强 的 驱动 能 力 ,允许 在 相同 传输 线 
上 连接 多 个 接收 节点 ,最 多 可 接 10 个 节点 。 在 多 个 节点 中 ,一 个 市 点 为 主 设 备 (master)， 
其 余 节 点 为 从 设备 (slave) ,从 设备 之 间 不 能 通信 ,所 以 RS-422 接口 支持 点 对 多 的 双 问 通 
言 。RS-422 四 线 接口 由 于 采用 单独 的 发 送 和 接收 通道 ,因此 不 必 控 制 数 据 方向 ,各 设备 
之 间 任 何必 需 的 信号 交换 均 可 以 按 软件 方式 (XON/XOFF 握手 ) 或 硬件 方式 (一 对 单独 
的 双 绞 线 ) 实 现 。 

RS-422 接口 的 最 大 传输 距离 为 1219m, 最 大 传输 率 为 10Mb/s。 其 平衡 双 绞 线 的 长 
度 与 传输 率 成 反比 ,在 100kb/s 的 传输 率 以 下 , 才 可 能 达到 最 大 传输 距离 。 只 有 在 很 短 的 
距离 下 才能 获得 最 高 传输 率 。 一 般 100m 长 的 双 绞 线 上 所 能 获得 的 最 大 传输 率 仅 为 
1Mbys。 

RS-485 标准 是 从 RS-422 标准 的 基础 上 发 展 而 来 的 ,所 以 RS-485 标准 的 许多 电气 规 
定 与 RS-422 标准 相仿 。 例 如 ,都 采用 平衡 传输 方式 ,都 需要 在 传输 线 上 连接 终 病 电阻 
等 。RS-485 接口 可 以 采用 二 线 与 四 线 连接 方式 。 二 线 连接 可 实现 真正 的 多 点 双 四 通信 。 
而 采用 四 线 连接 时 ,与 RS-422 接口 一 样 只 能 实现 点 对 多 的 通信 , 即 只 能 有 一 个 主 设备 ， 
其 余 均 为 从 设备 ,但 它 比 RS-422 接口 有 改进 ,无 论 四 线 还 是 二 线 连 接 方式 ,总 线 上 可 至 
多 连接 32 个 设备 。 

RS-485 接口 与 RS-422 接口 的 不 同 之 处 还 在 于 其 共 模 输出 电压 是 不 同 的 ,RS-485 接 
口 是 一 7 一 十 12V, 而 RS-422 在 一 7 一 十 7V 之 间 ,RS-485 接口 接收 器 最 小 输入 阻抗 为 
12kQ ,RS-422 接口 是 4kQ; 由 于 RS-485 接口 满足 所 有 RS-422 接口 的 规范 ,所 以 RS-485 
接口 的 驱动 器 可 以 在 RS-422 接口 网 络 中 应 用 。 

RS-485 接口 与 RS-422 接口 一 样 ,其 最 大 传输 距离 约 为 1219m, 最 大 传输 率 为 
10Mb/s。 平 衡 双 绞 线 的 长 度 与 传输 率 成 反比 ,在 100kb/s 的 传输 率 以 下 , 才 可 能 使 用 规 
定 的 最 长 电 绕 长 度 。 只 有 在 很 短 的 距离 下 才能 获得 最 融 传 输 认 。 一 般 50m 长 双 绞 线 的 
最 大 传输 率 仅 为 2Mbys。 

5) 并 行 接口 

并 行 接口 指 采用 并 行 传输 方式 来 传输 数据 的 接口 (IEEE 1284 标准 )。 并 行 接口 是 指 
数据 的 各 位 同时 进行 传送 ,其 特点 是 传输 速度 快 ,但 当 传 输 距 离 较 还 而 位 数 又 多 时 ,就 导 
臻 通信 线路 复杂 且 成 本 提高 。 并 行 接 口中 各 位 数据 都 是 并 行 传 送 的 , 它 通 稼 是 以 字 节 (8 


@ 共 模 抑制 是 指 对 相同 信号 的 抑制 。 当 参考 本 地 公共 端 或 地 时 , 共 模 信号 出 现在 双 线 电缆 的 两 条 线 上 , 同 相 且 
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位 ) 或 双 字 节 (16 位 ) 为 单位 进行 数据 传输 ,理论 最 大 传输 率 为 4MB/s; 实 际 传输 率 约 为 
2MB/s, 有 具体 取决 于 人 硬件 性 能 。 

IEEE 1284 标准 规定 了 3 种 连接 兹 ,分 别称 为 A 型 \.B 型 \C 型 。 图 1-12 所 示 的 25- 
36 PIN 接口 电 统 的 两 端 分 别 是 A 型 与 B 型 转换 接 插件 。 

A 型 连接 右 也 称 DB-25 连接 器 ,只 用 于 主机 端 。 分 为 DB-25 孔 型 电缆 插座 ( 母 头 ) 和 
DB-25 针 形 电缆 插头 ( 公 头 ) ,主要 用 于 台式 计算 机 。 因 为 其 尺寸 较 小 ,也 有 少数 小 型 打印 
机 (例如 POS 机 打印 机 等 ) 使 用 ( 非 标准 使 用 ) ,但 要 求 电 费 较 短 。 

B 型 连接 需 也 称 DB-36 连接 需 ,市 卡 紧 区 置 ,只 用 于 外 设 ,主要 用 于 打印 机 。 

; 型 连接 器 也 称 Mini-Centronics 36 PIN 连接 器 ,又 称 MDR36 连接 器 , 带 夹 紧 装 置 ， 
既 可 用 于 主机 ,也 可 用 于 外 设 。 由 于 新 的 接口 标准 不 断 出 现 ,C 型 连接 器 缺乏 竞争 力 , 因 
此 难于 普及 。 而 采用 USB 接口 的 外 部 设备 迅速 发 展 , 使 得 并 口 的 使 用 率 也 在 逐步 降低 。 

6) PCMCIA 接口 

PCMCIA 是 个 人 计算 机 存储 卡 国际 协会 (Personal Computer Memory Card 
International Association) 的 缩写 。 该 协会 于 1989 年 9 月 成 立 , 从 1990 年 起 ,开始 发 布 
PCMCIA 设备 相关 标准 。PCMCIA 最 初 被 设计 为 用 于 计算 机 存储 的 存储 器 扩展 卡 的 标 
准 。PCMCIA 卡 的 外 形 如 图 1-13 所 示 。 


图 1-12 ”25-36 PIN 接口 电缆 图 1-13 PCMCIA 卡 


PCMCIA 总 线 分 为 两 类 : 一 类 仍然 称 为 PCMCIA (16 位 或 32 位 ); 男 一 类 称 为 
CardBus(32 位 ) ,定义 了 3 种 不 同形 式 的 卡 ,长 宽 均 为 85.6mmxXx54mm, 只 是 在 厚度 方面 
有 所 不 同 。 

Type I 是 早期 使 用 的 PCMCIA 卡 ,厚度 为 3.3mm, 有 16 位 数据 接口 ,为 双 排 34 个 孔 ( 总 
共 68 个 扎 ) ,主要 用 于 RAM 和 一 次 性 可 编程 存储 硕 (One Time Programmable,OTP) 。 

Type 开 将 厚度 增 至 5.0mm, 具 有 16 位 或 32 位 数据 接口 ,引入 了 1/O 支持 ,允许 设 
备 连 接 外 围 设 备 阵 列 ,或 为 主机 内 置 支 持 接口 提供 连接 器 / 插 覃 ,其 适用 范围 也 大 大 扩展 ， 
包括 大 多 数 的 调制 解 调 需 .传真 调 制 解 调 央 (fax modem)、LAN 适 配 需 和 其 他 电子 设备 
(例如 电视 卡 )。 

Type 时 则 进一步 增 大 厚度 到 10.5mm, 同 柱 具 有 16 位 或 32 位 数据 接口 ,这 种 卡 主 
要 用 于 存储 设备 (例如 人 硬盘) 以 及 加 密 狗 设备 。 

融 版 本 的 PCMCIA 接口 提供 四 下 兼容 的 能 力 , 允 许 兼 容 使 用 低 版 本 的 PCMCIA 卡 。 

7) 网 络 接口 

网 络 接口 向 称 网 口 , 通 稼 是 指 网 络 设备 的 各 种 接口 ,现今 使 用 的 网 络 接口 大 部 分 都 是 
14 


以 太 网 接口 。 

常见 的 以 太 网 接口 类 型 有 RJ-45 接口 、RJ-11 接口 .SC 光纤 接口 .BNC 接口 、Console 
接口 。 

RJ-45 接口 是 现在 最 常见 的 网 络 设备 接口 ,其 接 插 件 俗称 “水 晶 头 ”, 专 业 术 语 为 RJ- 
45 连接 器 ,属于 双 绞 线 以 太 网 接口 类 型 (8 根 线 ) , 它 在 终端 中 的 插 槽 如 图 1-14 所 示 。RJ- 
45 接口 的 插头 只 能 沿 固定 方 回 插入 , 设 有 一 个 塑料 弹片 与 RJ-45 择 模 卡 住 以 防止 脱落 。 
这 种 接口 在 10Base-T 以 太 网 .100Base-TX 以 太 网 ,1000Base-TX 以 太 网 中 都 可 以 使 用 ， 
传输 介质 均 为 双 绞 线 。 根 据 网 络 市 宽 的 不 同 , 对 数据 传输 介质 也 有 不 同 的 要 求 ,特别 是 连 
接 1000Base-TX 以 太 网 时 ,至 少 要 使 用 超 五 类 线 , 为 了 保证 稳定 、 高 速 连接 ,还 要 使 用 六 

RJ-11 接口 和 RJ-45 接口 很 类 似 , 也 采用 双 绞 线 传输 信号 ,但 只 有 4 根 针 脚 CRJ-45 为 
8 根 ) ,如 图 1-15 所 示 。 在 计算 机 系统 中 ,RJ-11 接口 主要 用 来 连接 调制 解 调 器 。 在 日 常 
应 用 中 ,RJ-11 接口 常用 于 连接 电话 线 ， 


人 
民 S485 QUT 


DWI IN [WEGAIN (#4) 


图 1-14 ”RJ-45 接口 图 1-15 和 融 有 RJ-11 接口 的 调制 解 调 需 板 卡 


光纤 接口 (如 图 1-16 所 示 ) 在 100Base-TX 以 太 网 时 代 就 已 经 得 到 了 应 用 ,因此 当时 
称 为 100Base-FX(F 是 光纤 的 英文 Fiber 的 缩写 ) 。 在 发 布 之 初 , 由 于 它 的 性 能 并 不 比 双 
绞 线 突出 ,而 且 成 本 较 高 ,因此 没有 得 到 普及 。 随 着 信息 社会 对 信息 传输 率 的 要 求 越 来 越 
高 ,服务 商 开 始 大 力 推 广 千 兆 网 络 ,光纤 接口 重新 受到 重视 。 


5B pA > 
FL ST LC 


SC 
图 1-16 ”光纤 接口 


光纤 接口 类 型 很 多 ,目前 第 见 的 为 SC( 有 多 种 含义 : Subscriber Connector, 用 户 连 接 
做;Square Connector ,方形 连接 器 ;Standard Connector, 标 准 接 口 ) 和 LC( 有 多 种 含义 : 
Lucent Connector ,于 讯 连接 需 ;Little Connector ,小 连接 需 ;Local Connector, 本 地 连接 
做 ) 。SC 光纤 接口 主要 用 于 局 域 网 交换 环境 ,在 一 些 高 性 能 以 太 网 交换 机 和 路 由 天 上 提 
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供 了 这 种 接口 。LC 接口 由 于 尺寸 更 小 巧 , 广 省 空间 ,因此 在 数据 中 心中 使 用 更 加 广泛 。 
光纤 接口 还 有 FC、ST 和 MT-RJ 等 类 型 。FC( 有 多 种 含义 : Ferrule Connector , 螺 扣 连接 
器 ;Fiber Channel, 光 纤 通 道 ) 与 ST(Straight Tip, 直接 末梢 ) 接 口 币 有 锁 紧 装置 ,主要 用 
于 宕 要 紧 固 的 环境 使 用 ,在 机 房 配 线 架 上 使 用 得 也 比较 多 。MT-RJ( 有 多 种 含义 . 
Mechanical Transfer Registered Jack, 机械 传 输 注 册 插 口 ; Media Termination- 
Recommended Jack ,介质 端 推 大 插口 ) 包 含 两 根 单 独 的 光纤 ,尺寸 较 小 ,常用 于 配 线 染 。 

BNC 接口 (如 图 1-17 所 示 ) 是 专门 用 于 微型 到 超 小 型 同 轴 电 缆 的 接口 ,在 母 连接 天 
上 有 两 个 卡 口 凸 耳 ,通过 连接 螺母 的 四 分 之 一 圈 卡 桶 实 
现 配 合 。 它 最 向 见 的 应 用 是 无 线 电 、 视 频 、 测试 仪 硕 ( 例 
如 示 波 规 ) 和 其 他 射频 电子 设备 。 通 篆 用 于 早期 计算 机 
网 络 中 ,现在 基本 上 已 经 不 再 用 于 交换 机 ,只 有 一 些 早 
期 的 RJ-45 以 太 网 交换 机 和 集线器 还 提供 少数 BNC 
接口 。 

在 可 进行 网 络 管理 的 设备 (例如 以 太 网 交换 机 ) 上 

般 都 有 一 个 Console 接口 , 它 是 专门 用 于 对 设备 进行 图 1-17 BNC 接口 
配置 和 管理 的 。Console 接口 的 类 型 也 有 所 不 同 , 绝 大 
多 数 设备 都 采用 RJ-45 接口 ,但 也 有 少数 厂商 采用 DB-9 串 行 接口 或 DB-25 串 行 接口 。 
Console 接口 通常 都 需要 使 用 专门 的 Console 线 连接 , 随 着 技术 的 发 展 ,Console 线 已 基本 
实现 对 各 种 接口 的 文 持 。 篆 见 的 连接 类 型 有 两 种 : 一 种 是 一 端 为 DB-9 串 行 接口 接头 , 男 
一 端 为 RJ-45 接头 ; 另 一 种 是 一 端 为 USB 接头 ,为 一 端 为 RJ-45 接头 。 

8) IDE 接口 

IDE(Integrated Drive Electronics ,集成 驰 动 电子 设备 ) 不 仅 指 明 连 接 希 和 接口 定义 ， 
还 表示 将 控制 硕 集 成 到 驱动 硕 中 ,而 不 是 主板 上 连接 的 或 连接 到 主板 的 单独 控制 硕 , 归 属 
于 并 行 高 级 技术 附件 (Parallel Advanced Technology Attachment,PATA) 接 口 标准 硬盘 
上 的 IDE 接口 如 图 1-18 所 示 。1IDE 线 统一 次 传输 16 位 数据 ,其 余 用 于 控制 信号 、 地址、 
地 线 电 和 平等。 传统 线 缆 使 用 40 针 的 市 状 线 绕 连 接 右 ,如 图 1-19 所 示 ,每 根 线 统 有 两 个 或 
三 个 连接 天 ,其 中 一 个 连接 希 插 人 计算 机 主板 ,其 余 的 连接 融 插 和 人 存储 设备 ,最 般 见 的 是 
人 硬盘 驱动 器 或 光盘 驱动 器 。 为 减少 相 邻 信号 线 之 间 电 容 耦 合 的 影响 ,提高 传输 率 ,出 现 过 


图 1.18 IDE 接口 硬盘 图 1.19 TIDE 线 缆 
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80 芯 线 缆 ,所 有 的 附加 线 缆 都 是 地 线 。 目 前 IDE 主流 的 标准 是 ATA-100 和 ATA-133， 
即 传输 率 分 别 为 100MB/s 和 133MB/s。 随 着 技 术 的 发 展 ,IDE 产品 虽然 已 逐步 淘汰 ,但 


大 部 分 信息 系统 的 终端 中 依然 有 此 类 型 接口 存在 。 
9) SATA 接口 


SATA(Serial Advanced Technology Attachment, 捉 行 高 级 技术 附件 ) 标 准 于 2003 
年 发 布 ,是 一 种 计算 机 总 线 接口 ,可 将 主机 总 线 适 配器 连接 到 大 容量 存储 设备 ,如 硬盘 驱 
动 器 .光盘 驱动 器 和 固态 驱动 器 ,如 图 1-20 所 示 。SATA 取代 了 旧 有 的 ATA 标准 ,成 为 
存储 设备 的 主要 接口 , 文 持 热 插 拔 、 更 局 信号 传输 率 I/O 排队 协议 有 效 传输 等 特性 。 
SATA 标准 定义 的 数据 线 统 包含 7 根 导线 (3 根 按 地 ,4 根 为 有 源 数 据 线 ), 电 源 线 纵 


包含 15 个 引 脚 ,其 接头 要 宽 于 数据 线 统 , 以 避免 二 者 混 消 ,如 图 1-21 所 示 。 


图 1-20 SATA 接口 硬盘 图 1-21 


( 右 侧 ) 


SATA 标准 目 2003 年 以 来 , 共 发 布 3 个 大 版 本 和 5 个 小 版 本 ,其 中 大 版 本 的 发 布 历 


史 如 表 1-3 所 示 。 


表 1-3 SATA 标准 的 大 版 本 的 发 布 历史 


版 本 传输 率 /GB*… s 
SATA 1.0 


SATA 3.0 


10) SCSI 接口 


Ln 


公布 时 间 


2003 年 1 月 


2009 年 5 月 


小 型 计算 机 系统 接口 (Small Computer System Interface,SCSI) 是 连接 到 计算 机 上 ， 
用 于 传送 数据 的 一 组 标准 的 外 围 设备 接口 ,如 图 1-22 所 示 。SCSI 是 一 种 并 行 总 线 , 最 稼 


用 于 人 硬盘 驱动 疮 和 磁 市 驱动 占 , 也 可 以 连 
接 其 他 设备 ,包括 扫描 仪 和 光盘 驱动 需 。 
SCSI 标准 定义 了 特定 外 围 设备 类 型 的 命令 
集 ,SCSI 接口 在 高 性 能 工作 站 、 服 务 硕 和 存 
储 设备 上 非常 流行 , 自 1986 年 发 布 第 一 版 
本 后 ,服务 器 上 的 几乎 所 有 RAID 系统 都 
使 用 某 种 SCSI 接口 硬盘 驱动 器 。 


图 1-22 SCSI 接口 硬盘 
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SCSI 标准 中 的 SCSI-1 和 SCSI-2 ,以 并 行 SCSI 作为 协议 的 核心 部 分 。 从 SCSI-3 开 
始 ,SCSI 标准 是 松散 的 标准 集合 ,每 个 标准 定义 了 SCSI 体系 结构 的 某 个 部 分 ,并 由 SCSI 
体系 结构 模型 绑 定 在 一 起 。 这 种 方式 将 SCSI 的 各 种 接口 与 命令 集 分 离 , 人 允许 支持 SCS] 
命令 的 设备 使 用 任何 接口 。 

SCSI-1 版 本 采用 8 个 数据 位 并 行 总 线 ( 加 上 第 9 个 奇偶 校 验 位 ),SCSI-2 版 本 则 允许 
更 快 的 时 钟 频 率 (10MHz) 和 更 宽 的 总 线 (16 位 或 32 位)。16 位 架构 因 性 价 比 高 ,成 为 主 
要 使 用 的 总 线 。 在 时 钟 频率 为 10MHz、 总线 宽度 为 16 位 时 ,可 以 实现 20MB/s 的 数据 传 
输 率 。 通 过 对 SCSI 标准 的 扩展 ,人 允许 SCSI 使 用 更 高 的 时 钟 频 率 : 20MHz、40MHz、 
80MHz、 160MHz、320MHz。 在 320MHz 时 , 16 位 总 线 理 论 上 最 大 数据 传输 率 为 
640MB,/s, 

目 2005 年 以 来 ,并 行 的 SCSI 接口 逐渐 被 SAS 接口 取代 ,后 者 采用 串 行 设计 ,但 保留 
了 SCSI 技术 的 其 他 方面 。 

11) SAS 接口 

SAS(Serial Attached SCSI, 串 行 连接 的 SCSD) 是 一 种 点 对 点 串 行 协议 ,用 于 计算 机 
存储 设备 的 接口 ,例如 硬盘 驱动 右 接 口 和 磁带 ”本 -- 
驱动 器 接口 ,如 图 1-23 所 示 。SAS 取代 了 最 
早出 现在 20 世纪 80 年 代 中 期 的 SCSI 总 线 技 
术 。SAS 已 发 布 的 版 本 如 表 1-4 所 示 。 与 
SCSI 一 样 ,SAS 使 用 标准 SCSI 命令 集 。SAS 
提供 与 SATA-2 及 更 高 版 本 的 可 选 羔 容 性 ,这 
允许 将 SATA 驱动 妖 连 接 到 大 多 数 SAS 接口 图 1-23” SAS 接口 
的 背 板 或 控制 器 上 。 但 是 ,SAS 驱动 器 无 法 连 
接 到 SATA 接口 的 背 板 上 ,这 是 因为 一 般 SATA 的 数据 线 和 电源 线 是 分 开 连 接 的 ,而 
SAS 的 电源 和 数据 触 点 是 连 在 一 起 的 。 

表 1-4 SAS 已 发 布 的 版 本 
版 ”本 传输 率 /Gb ，s7 发 布 时 间 


bi | E 


SAS-3 12.0 2013 年 3 月 
SAS-4 22.5 2017 年 

2. 输入 设备 

稼 抑 的 输入 设备 有 以 下 4 种 。 

1) 键盘 


键盘 是 用 于 操作 设备 运行 的 一 种 指令 和 数据 输入 装置 ,是 最 常用 也 是 最 主要 的 输入 

设备 ,通过 键盘 可 以 将 喘 文 字母 ,数字 ,标点 符号 等 输入 到 计算 机 中 ,从 而 向 计算 机 发 出 命 

今 输入 数据 等 。 其 接口 主要 有 PS/2 和 USB 两 种 ,目前 常见 的 键盘 接口 以 USB 接口 居 
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多 ,使 用 方式 分 为 有 线 和 无 线 (蓝牙 .红外 等 ) 两 种 。 

2) 鼠标 

鼠标 是 计算 机 终端 的 稼 用 输入 设备 , 按 其 定位 工作 诛 理 分 为 机 械 鼠 标 和 光电 鼠标 , 按 
其 接口 类 型 分 为 品行 鼠标 .PS/2 鼠标 .总线 鼠 标 `\USB 和 鼠标。 篇 见 的 鼠标 接口 以 USB 接 
口 居多 ,使 用 方式 分 为 有 线 和 无 线 两 种 。 和 终端 系统 中 的 图 形 化 操作 界面 依赖 鼠标 的 程度 
韭 常 高 ,如果 没 有 鼠标 的 文 持 ,操作 便 捷 性 会 受 很 大 影响 ，。 

3) 扫描 仪 

扫描 仪 是 利用 光电 技术 和 数字 处 理 技术 ,以 扫描 方式 将 图 形 或 图 像 转换 为 数字 信号 
的 闻 置 。 其 原理 是 : 目 然 界 的 物体 都 会 吸收 特定 的 光波 ,而 未 被 吸收 的 光 流 束 会 反射 出 
去 。 扫 摘 仪 利用 上 述 原 理 来 完成 对 扫 摘 对象 的 谈 取 。 扫 摘 仪 工作 时 发 出 的 强 光 照射 在 扫 
描 对 旬 上 ,没有 被 吸收 的 光线 被 反射 到 光 感 应 锅 上 。 交 感应 吉 接 收 到 这 些 信号 后 ,将 这 些 
信号 传送 到 模 / 数 (AD) 转 换 顺 , 模 / 数 转换 项 再 将 其 转换 成 计算 机 能 谈 取 的 二 进 制 信号 ， 
然后 通过 驱动 程序 转换 成 显示 右上 能 看 到 的 正确 图 像 。 通 常 使 用 颜色 深度 ,有效 分 辨 率 、 
密度 犯 围 3 个 参数 衡量 扫描 仪 的 性 能 。 颜 色 深 度 通 和 常 至 少 为 24 位 ,高 质量 的 可 达 36 一 
48 位 ;有 效 分 辨 率 以 DPI(Dots Per Inch ,每 英寸 点 数 ) 为 单位 ,普通 扫描 仪 通 稼 为 200 一 
500DPI ,专业 级 扫 摘 仪 可 达 3000DPI; 密度 范围 表明 扫 摘 仪 可 以 记录 暗部 和 腕 部 细节 的 
范围 ,普通 平板 照片 扫描 仪 的 动态 范围 为 2.0 一 3.0, 对 于 包含 精细 细节 的 内 容 往往 无 法 识 
别 ,例如 显 微 照 片 、 含 有 数字 水 印 的 图 片 等 。 

现代 扫描 仪 通常 使 用 电 傈 粳 合 各 件 或 接触 式 图 像 传 怀 右 作 为 图 像 传 感 右 ,用 于 最 局 
图 像 质 量 的 豆 式 扫 摘 仪 使 用 光电 倍增 管 作 为 图 像 传 感 硕 。 扫 摘 仪 按照 使 用 方式 可 分 为 笔 
式 扫描 仪 ,便携式 扫描 仪 平板 扫描 仪 . 股 刻 扫描 仪 、 压 厂 扫 描 仪 和 名 片 扫 描 仪 等 。 扫 描 仪 
可 以 将 图 片 、 照 片 .胶片 .各 类 文稿 资料 输入 到 计算 机 中 ,进而 实现 对 这 些 图 像 信息 的 处 
理 .管理 使用、 存储、 输出 等 ,是 将 各 种 形式 的 图 像 信 息 输 入 计算 机 的 重要 工具 。 扫 摘 仪 
接口 通常 使 用 并 行 接口 .SCSI 接口 .USB 接口 和 IEEE 1394 接口 等 ,以 USB 接口 居多 。 

4) 摄像 头 

摄像 头 是 一 种 视频 输入 设备 ,被 广泛 运用 于 视频 会 议 、. 近 程 医疗 及 实时 监控 等 方面 。 
摄像 头 可 分 为 效 字 摄像 头 和 模拟 摄像 头 两 大 类 。 数 字 摄 像 头 可 以 将 视频 采集 设备 产生 的 
模拟 视频 信号 转换 成 数字 信号 ,进而 将 其 存储 在 计算 机 里 。 模 拟 摄像 头 捕 捉 到 的 模拟 视 
频 信 号 必须 经 过 特定 的 视频 捕捉 卡 转换 成 数字 信号 ,并 进行 压缩 后 才 可 以 存储 在 计算 机 
里 。 数 字 摄 像 头 可 以 直接 捕捉 影像 ,然后 通过 串 接 口 、 并 行 接 口 或 者 USB 接口 传输 到 计 
算 机 里 。 


3. 输出 设备 
常见 的 输出 设备 有 以 下 两 种 。 
1) 显示 器 
显示 融 是 以 图 形 .字符 等 方式 展示 信息 的 输出 设备 。 在 终 闪 上 的 复杂 操作 .指令 和 执 
行 结果 都 需要 在 显示 器 上 显示 ,因此 显示 器 对 终端 而 言 是 非常 重要 的 。 早 期 显示 器 使 用 
阴极 射线 管 ,体积 从 重 , 功 耗 大 。 现 代 显 示 器 通 稼 采用 背光 式 薄 膜 唱 体 管 液晶 显示 占 。 通 
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过 VGA、DVI.、HDMI、DisplayPort、Thunderbolt 等 接口 连接 到 计算 机 终 病 。 与 显示 器 性 
质 相 同 的 是 投影 仪 , 二 者 的 功能 相同 ,只 是 显示 的 工作 方式 有 所 不 同 。 

2) 打印 机 

打印 机 是 计算 机 的 常用 输出 设备 之 一 ,用 于 将 计算 机 的 处 理 结果 打印 在 相关 介质 上 。 
打印 机 按 数 据 传输 方式 可 分 为 串 行 打 印 机 和 并 行 打 印 机 两 类 ,通常 需要 使 用 数据 线 将 打 
印 机 和 终 问 相连 ,以 便 实 现 打印 控制 和 打印 数据 的 传输 ,第 见 的 接口 有 USB 接口 并行 接 
口 等 。 随 看 控制 拷 术 和 网 络 技 术 的 发 展 ,网 络 打印 机 在 实际 应 用 中 于 猛 发 展 。 网 络 打 印 
机 可 以 在 网 络 环境 中 为 可 连接 打印 机 的 终 奖 提 供 打 印 服务 ,具有 易于 管理 .使 用 便捷 、 高 


4. 存储 设备 
第 见 的 存储 设备 有 以 下 6 种。 
1) 光 介 质 存储 设备 
光 介 质 存 储 设 备 主要 指 通 过 光盘 介质 存 取 数据 的 设备 。 通 常 通过 可 刻录 光驱 设备 对 
光盘 进行 读 写 , 在 此 类 设备 上 会 标注 有 RW 字样 ,表明 可 实现 刻录 功能 ,其 刻录 速度 从 ] 
倍速 到 52 倍速 (通常 为 2 的 倍数 )。 不 同 的 设备 对 不 同 的 光盘 支持 的 刻录 速度 也 不 同 , 主 
要 由 刻录 光驱 设备 三 商 的 技术 能 力 决 定 。 交 盘 分 为 一 次 性 刻录 光盘 和 可 探 写 刻录 光盘 ， 
光盘 的 存储 容量 为 200MB(8cm 小 盘 CD-R) 一 100GBCBDXEL 规格 蓝光 光盘 )。 以 下 为 常 
见 的 刻录 光盘 种 类 . 
。 CD-R。 一 次 性 CD 刻录 盘 ,容量 为 700MPB，。 
。 CD-RW。 可 擦 写 CD 刻录 盘 , 容 量 为 700MB。 
。 DVD-/ 十 R。 一 次 性 DVD 刻录 盘 , 容 量 为 4.7GB。 
。 DVD-/ 十 RW。 可 接 写 DVD 刻录 盘 , 容 量 为 4.7GB。 
。 DVD-/ 十 R DL。 一 次 性 单 面 双 层 DVD 刻录 盘 ,容量 为 8.5GB。 
。 BD-R。 一 次 性 蓝光 刻录 盘 ,容量 为 25GB。 
。 BD-R DL。 一 次 性 蓝光 刻录 盘 ,容量 为 50GB。 
。 BD-R XL。 一 次 性 蓝光 刻录 盘 , 容 量 为 100GB。 
。 BD-RE DL。 可 探 写 蓝光 刻录 盘 , 容 量 为 50GB。 
2) 移动 存储 设备 
移动 存储 设备 主要 指 采 用 各 类 可 热 插 拔 式 接口 (例如 USB 接口 和 IEEE 1394 接口 
等 ) ,具备 读 写 能 力 的 存储 设备 。 从 存储 介质 上 划分 ,移动 存储 设备 可 分 为 磁 介 质 存 储 设 
备 ( 例 如 ZIP 磁盘 LS-120 磁盘 、USB 移动 便 盘 等 )、 光 介质 存储 设备 (例如 CD-RW 和 
DVD) 和 闪存 介质 存储 设备 (例如 U 盘 、 固 态 硬盘 等 )3 种 ,如 图 1-24 所 示 。 
3) 存储 卡 
存储 卡 是 主要 用 于 手机 数码 相机 ,便携 式 电脑 ,MP3 和 其 他 数 公 产品 上 的 独立 存储 
介质 ,一 般 是 卡片 的 形态 , 故 统称 为 存储 卡 。CF 卡 是 最 早出 现 的 存储 卡 之 一 。 随 着 技术 
的 发 展 , 又 出 现 了 MMC 系列 ,SD 系列 .索尼 MS 系列 等 各 种 类 型 的 存储 卡 。 
MMC 系列 存储 卡 主要 应 用 于 数码 相机 、 手 机 和 一 些 PDA 产品 上 。MMC 系列 的 主 
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图 1-24 ZIP 磁盘 和 LS-120 磁盘 


要 类 型 有 MMC 、RS-MMC 、MMC Plus、MMC Mobile.MMC Micro。 

Secure Digital Card( 安 全 数字 卡 ) 人 简称 SD 卡 , 从 很 多 方面 来 看 都 可 看 作 MMC 的 升 
级 。SD 系列 的 主要 类 型 有 SD、Mini SD、Micro SD、T-Flash、SDHC、SDXC。SD 卡 由 于 
其 存储 容量 和 和 厨 吐 速 率 的 优势 ,已 成 为 当前 主流 的 存储 卡 。 

另外 还 有 一 些 广 商定 制 的 存储 卡 。 例 如 ,索尼 MS 系列 是 索尼 公司 在 1999 年 推出 的 
存储 卡 产 品 , 俗 称 记 忆 棒 ,主要 类 型 有 MS Pro、MS Duo、MS Pro Duo 、MS Micro、 
Compact Vault, 广 泛 应 用 于 数码 相 机 数码 摄像 机 和 
PDA 产品 当中 。 

4) 便 盘 

硬盘 ,也 称 为 便 盘 驱动 项 (Hard Disk Drive， 
HDD) ,通过 机 电 数 据 存 储 装 置 ( 磁 头 ) ,使 用 一 个 或 
多 个 快速 旋转 的 涂 有 磁性 材料 的 磁性 盘 上 请 存储 介质 
存储 数据 ,其 内 部 结构 如 图 1-25 所 示 。 和 硬盘 是 一 种 
非 易 失 性 存储 希 , 即 使 在 断 电 时 也 能 保留 存储 的 数 
据 。 磁 盘 可 以 采用 随机 访问 方式 访问 数据 ,这 意味 
着 文件 系统 的 数据 块 可 以 按 任 意 顺 序 存 储 或 检索 ， 
容易 导致 磁盘 文件 碎片 的 产生 。 

硬盘 盘 片 与 磁头 配对 , 通 币 布置 在 移动 的 传动 臂 上 ,从 盘 片 表面 谈 取 数据 或 将 数据 与 
人 人 盘 卢 表面 。 不 同 便 盘 中 的 盘 片 转速 不 同 ,节能 便携 式 设备 的 转速 为 4200r/min ,高 性 能 
服务 需 的 转速 为 15 000r/min。 和 初期 硬盘 驱动 紫 的 转速 为 1200r/ min ,陆续 提升 为 3600r/ 
min, 目前 大 多 数 硬 盘 的 转速 为 5400r/ min 或 7200r/min。 由 于 磁头 和 磁盘 表面 之 间 的 距 
离 非 常 近 ( 约 100nm 以 内 ,部 分 产品 已 达到 10nm), 便 盘 驱 动 右 容易 因 侯 头 碰撞 而 损坏 ， 
即 磁头 在 磁盘 表面 刮 擦 的 磁盘 故障 ,通常 会 诬 挥 注 磁 层 , 导 人 臻 数据 失效 。 电 子 故 障 、 突 然 
断 电 、 物 理 冲 击 、 驱动 需 内 部 污染 、 磨损、 腐蚀 或 制造 的 盘 片 和 磁头 不 恨 等 原因 ,都 有 可 能 
造成 盘 片 损伤 。 

现代 硬盘 最 常见 的 两 种 外 形 尺 寸 是 3.5in( 台 式 计算 机 ) 和 2.5in( 主 要 是 笔记 本 电 
脑 ) ,通过 标准 接口 线 缆 ( 例 如 PATA IDE.SATA .USB 或 SAS 线 缆 ) 连 接 到 终端 。 

便 盘 驱动 项 在 高 性 能 服务 郑 、 媒体 服务 需 等 领域 正在 被 固态 便 盘 (Solid-State Drive， 
SSD) 逐 步 取 代 , 这 是 因为 SSD 具有 更 高 的 数据 传输 率 、 更 高 的 区 域 存储 密度 、 更 高 的 可 
徘 性 以 及 更 低 的 延迟 和 访问 时 间 。 在 任务 关键 型 应 用 方面 ,要 求 存储 系统 的 速度 要 尽 可 
能 高 ,例如 ,在 股票 交易 系统 、 通 信和 系统 、 视 频 编辑 系统 等 需要 融 传 输 率 的 场景 中 ,SSD 可 

21 


图 1-25 硬盘 内 部 结构 
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以 提供 比 HDD 更 好 的 响应 速度 。 

固态 硬盘 是 一 种 使 用 集成 电路 组 件 作 为 存储 怖 存储 数据 的 固态 存储 设备 。SSD 可 
以 使 用 传统 的 硬盘 驱动 硕 的 外 形 协议、 文件 系统 (例如 NTFS 或 FAT32) 以 及 接口 (例如 
SATA 和 SAS) 。 

SSD 的 关键 组 件 是 控制 希 和 用 于 存储 数据 的 存储 硕 。SSD 中 的 主要 存储 组 件 传 统 
上 是 易 失 性 DRAM。 自 2009 年 起 ,SSD 开始 广泛 使 用 闪存 式 非 易 失 性 NAND 作为 存储 
组 件 ,这 是 一 种 非 多 失 性 存储 和 希 , 可 在 断 电 时 保留 数据 。 

由 于 固态 硬盘 使 用 集成 电路 作为 存储 单元 (由 多 个 集成 电路 组 成 数据 块 , 典 型 数据 块 
大 小 为 16KB、128KB、256KB、512KB) ,如 果 在 不 写 入 任何 其 他 数据 块 的 情况 下 ,对 特定 
的 数据 块 进行 重复 编程 和 擦 除 ,组 成 该 数据 块 的 集成 电路 会 因 电 三 娶 减 导致 奉命 提前 耗 
尽 。 因 此 SSD 采用 称 为 耗损 均衡 的 技术 在 所 有 数据 块 上 尽 可 能 均匀 地 分 配 写 人 操作 ,以 
避免 这 种 情况 发 生 。 但 是 ,SSD 使 用 集成 电路 存储 的 电 倚 状态 来 表示 存储 的 数据 ,在 没 
有 电源 的 情况 下 , 它 会 随 者 时 间 的 推移 而 慢 慢 泄漏 ,导致 数据 丢失 。 这 个 周期 随 设备 使 用 
寿命 而 异 , 短 则 1 一 2 年 ( 旧 设 备 ) ,长 则 10 年 (新 设备 )。 为 发 挥 SSD 的 技术 优势 ,通常 不 
将 SSD 用 于 归档 、 备 份 等 长 期 存储 的 场 录 中 。 

在 终 病 系统 中 ,除了 第 见 的 系统 硬盘 外 ,还 有 一 种 称 为 元 余 便 盘 的 存储 设备 , 通 稼 是 
指 终 病 中 除 操作 系统 运行 的 硬盘 外 的 其 他 硬盘 (与 操作 系统 不 在 同一 个 物理 硬盘 上 )。 这 
些 风 余 便 盘 不 影响 终端 的 运行 过 程 ,一 般 作 为 终端 存储 能 
力 的 扩展 ,用 于 应 对 终端 中 硬盘 存储 空间 不 足 的 情况 FE 

5) 软驱 yy 

软盘 驱动 器 (Floppy Disk Drive, FDD) 就 是 通常 所 说 
的 软驱 ,使 用 3.5in 或 5.25in 软盘 作为 存储 介质 ,如 图 1-26 
所 示 。 软 盘 驱 动 硕 由 于 其 存储 容量 小 . 谈 与 速度 慢 .软盘 的 图 1.26 软驱 
寿命 和 可 靠 性 差 .数据 易于 失 等 原因 , 现 已 被 其 他 设备 取 
代 。 早 期 的 终 问 计算 机 大 部 分 配 有 软驱 。 

6) 磁 市 机 

磁 审 机 (tape drive) 一 般 指 单 驱动 磊 庆 咒 , 通 
常 由 磁 囊 驱动 副 和 磁带 构成 ,是 一 种 经 济 、 可 徘 、 
容量 大 速度 快 的 备份 设备 ,通常 用 于 离线 数据 存 
档 , 如 图 1-27 所 示 。 近 年 来 ,由 于 磁 审 机 采用 了 
具有 高 纠 错 能 力 的 编码 技术 和 即 写 即 该 的 通道 技 
术 , 大 大 提高 了 磁带 存储 的 可 蚕 性 和 读 写 速度 。 
磁带 机 的 读 写 技术 根据 读 写 磁 市 的 工作 原理 可 分 
为 螺旋 扫描 读 写 技术 .线性 记录 恋 写 技术 , 磁 市 采 
用 的 备份 技术 主要 包括 DDS/DAT、DLT 以 及 比 
较 先 进 的 LTO, 现 在 主流 产品 大 多 采用 LTO。 

螺旋 扫描 读 写 技术 以 螺 旋 扫描 方式 读 写 人 磁 囊 i a 
上 的 数据 。 这 种 磁带 读 写 技术 与 录像 机 基本 相 图 1-27 人 磁 布 机 
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似 , 磁 市 强 绕 位 到 的 大 部 分 ,并 以 水 平 低速 前 进 , 而 磁 政 在 人 磁 珊 读 写 过 程 中 反问 融 速 旋转 ， 
安装 在 人 磁 下 表面 的 磁头 在 旋转 过 程 中 完成 数据 的 读 写 工作 。 磁 头 在 读 写 过 程 中 与 磁 市 保 
持 15 倾角 ,磁道 在 磁 市 上 以 75 倾角 平行 排列 ,如 图 1-28 所 示 。 采 用 这 种 谈 写 技术 在 同 
梓 的 磁 审 面积 上 可 以 获得 更 多 的 数据 通道 ,元 分 利用 了 磁 市 的 有 效 和 存储 空间 ,因而 有 较 忆 


图 1-28 ”螺旋 扫描 读 写 技术 


线性 记录 庶 写 技术 以 线性 记录 方式 庶 写 磁 市 上 的 数据 。 这 种 磁 审 谱写 扩 术 与 录音 机 
基本 相同 ,平行 于 磁头 的 高 速 运动 磁 市 护 过 静止 的 磁头 ,进行 数据 记录 或 族 出 操作 。 这 种 
技术 可 使 驱动 系统 设计 简单 ,但 谈 写 速度 较 低 。 同 时 ,由 于 数据 在 磁 市 上 的 记录 轨迹 与 磁 
市 平行 ,因此 其 数据 存储 利用 率 较 低 。 线 性 记录 谈 写 扩 术 如 图 1-29 所 示 。 为 了 了 有效 提 癌 
磁 市 的 利用 率 和 谈 写 速度 ,人 们 人 研制 出 了 多 磁头 平行 谈 写 方式 , 称 为 线性 蛇 形 记录 技术 ， 
如 图 1-30 所 示 。 这 种 技术 提高 了 磁 审 的 记录 密度 和 传输 率 ,但 驱动 硕 的 设计 变 得 极为 复 
杂 ,成 本 也 随 之 增加 。 


图 1-30 线性 蛇 形 记录 技术 
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数字 线性 磁带 (Digital Linear Tape,DLT) 技 术 是 一 种 存储 技术 标准 ,包括 1/2in 磁 
斋 、 线 性 记录 方式 .专利 磁带 导 和 人 装置 和 特殊 磁带 盒 等 关键 技术 。 利 用 DLT 技术 的 磁 市 
机 ,在 带 长 为 1828ftd .带宽 为 1/2in 的 磁带 上 有 128 个 磁道 ,使 单 磁带 未 压缩 容量 可 高 达 
20GB ,压缩 后 容量 可 增加 一 倍 。 

线性 开放 式 磁 市 (Linear Tape-Open,LTO) 技 术 是 由 IBM、HP Seagate 三 大 存储 设 
备 制 造 公司 共同 支持 的 磁带 处 理 技术 , 它 可 以 极 大 地 提高 磁带 备份 数据 量 。LTO 磁带 可 
将 磁 囊 的 容量 提高 到 100GB, 经 过 压缩 可 达到 200GB。LTO 技术 不 仅 增加 了 磁带 的 磁道 
密度 ,而且 在 磁头 和 伺服 结构 方面 进行 了 全 面 改 进 , 采 用 了 先进 的 磁道 伺服 跟踪 系统 来 有 
效 地 监视 和 控制 磁头 的 精确 定位 ,防止 相 邻 磁道 的 误 写 问题 ,以 达到 提高 磁道 密度 的 
目的 。 


5. 无 线 设备 

凋 用 的 无 线 设 备 有 以 下 两 种 。 

1) 红外 设备 

红外 线 (Cinfrared) 是 波长 为 750nm 一 1mm 的 电 做 波 , 它 的 频率 局 于 微波 而 低 于 可 见 
光 ,是 一 种 人 眼看 不 到 的 光线 。 红 外 数据 协会 (Infrared Data Association ,IrDA) 将 红外 
数据 通信 所 采用 的 光 流 波长 的 范围 限定 为 850nm 一 900nm。 红 外 传输 是 一 种 点 对 点 的 无 
线 传输 方式 ,由 于 红外 线 的 波长 较 短 ,对 障碍 物 的 衍射 能 力 差 ,通信 距离 短 ,而 且 具 有 方 回 
性 , 且 中 间 不 能 有 障碍 物 , 所 以 更 适合 应 用 在 需要 短 距 离 无 线 通 信 的 场合 进行 点 对 点 的 直 
线 数 据 传输 ,在 消费 电子 产品 中 使 用 非常 广 池 ,例如 电视 机 、 空 调 等 电子 产品 的 遥控 融 。 
在 终端 中 采用 红外 连接 的 外 设 较 少 , 主 要 有 红外 鼠标 、 红 外 打印 机 、 红 外 键盘 等 ,在 某 些 笔 
记 本 电脑 中 也 采用 了 红外 技术 ,但 目前 基本 已 被 蓝 政 技术 取代 。 

2) 蓝牙 设备 

蓝牙 (bluetooth) 是 一 种 无 线 技术 标准 ,用 于 在 固定 设备 和 移动 设备 之 间 以 及 个 人 局 
域 网 (Personal Area Network,PAN) 中 的 设备 之 间 的 短 距 离 数据 交换 。 赣 和 牙 标志 如 图 1-31 
所 示 。 蓝 牙 技术 最 初 是 由 爱立信 公司 于 1994 年 设计 的 ,当时 是 作为 RS-232 数据 线 的 替 
代 方 案 , 目 的 是 开发 无 线 耳 机 。 随 后 在 实际 应 用 中 , 赣 和 牙 技术 显示 了 巨大 的 应 用 价值 而 这 


渐 得 以 推广 。 
€3 Bluetooth 


图 1-31 蓝牙 标志 


蓝牙 可 连接 多 个 设备 ,克服 了 数据 同步 的 难题 。 蓝 牙 在 2402 一 2480MHz 或 2400 一 
2483.5MHz 的 频率 下 工作 ,其 中 包括 底 问 2MHz 频 宽 的 保护 融和 顶端 3.5MHz 频 宽 的 保 
护 带 。 蓝 牙 使 用 称 为 跳 频 扩 频 的 无 线 电 技术 ,将 传输 的 数据 分 成 数据 包 , 并 在 79 个 指定 
的 蓝牙 通道 之 一 中 传输 每 个 数据 包 。 每 个 通道 的 市 宽 为 1MHz。 


@ 1ft=30.48cm. 
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蓝牙 设备 按 工 作 范 围 可 分 为 4 类 ,其 标准 如 表 1-5 所 示 。 和 篇 见 的 消费 类 蓝牙 设备 主 
要 划分 在 第 2 类 设备 中 ,例如 ,蓝牙 鼠标 ,键盘 ,蓝牙 耳机 等 ,其 正常 工作 的 覆盖 范围 大 约 
为 10m。 


表 1-5 蓝牙 设备 按 工作 范围 的 分 类 


类 2 最 大 距离 /m 
1 100 

2 10 

3 1 

4 0.5 


蓝牙 协议 到 目前 为 止 已 发 布 了 5 个 版 本 。 蓝 牙 5.0 版 本 于 2016 年 6 月 推出 ,主要 用 
于 物 联网 技术 。 


1.3.2 软件 


终 痊 的 软件 是 指示 计算 机 如 何 工 作 的 数据 或 计算 机 指令 的 集合 ,由 系统 软件 和 应 用 
软件 组 成 。 计 算 机 软件 包括 程序 、 库 和 相关 的 非 可 执行 的 数据 (例如 文档 或 数字 媒体 等 )。 
终 疹 的 软件 和 硬件 是 相互 依托 的 ,任何 一 个 脱离 另 一 都 不 能 单独 使 用 。 

系统 软件 又 分 为 操作 系统 和 设备 驱动 程序 ,是 直接 操作 计算 机 硬件 的 软件 ,为 用 户 和 
其 他 软件 提供 所 需 的 基本 功能 ,并 提供 运行 应 用 软件 的 平台 。 终 端 从 运行 的 主流 操作 系 
统 可 以 分 为 Windows 终 闫 和 非 Windows 终端 。Windows 终 端 是 指 安 装 了 微软 公司 
Windows 操作 系统 (也 称 视 窗 操 作 系 统 ) 的 终端 ; 非 Windows 终端 是 指 安装 了 非 
Windows 操作 系统 的 其 他 终 闪 ,这 类 操作 系统 包括 但 不 限于 RedHat、Linux、BSD、 
MacOs 等 操作 系统 。 关 于 操作 系统 的 内 容 将 在 第 2 曹 学 习 。 设 备 驱 动 程序 用 于 操作 或 
控制 连接 到 终端 的 特定 类 型 设备 。 每 个 设备 至 少 需 要 一 个 相应 的 设备 驱动 程序 ,而 有 旦 终 
痊 通 稍 至 少 需要 一 个 输入 设备 和 一 个 输出 设备 (例如 键 一 和 显示 需 ), 所 以 终 疹 通 利 需要 
不 止 一 个 设备 驱动 程序 。 

应 用 软件 是 为 了 满足 采种 功能 需要 而 开发 的 功能 性 程序 ,例如 办 公 软 件 .Web 应 用 
程序 .文本 编辑 硕 等 。 应 用 软件 的 开发 和 运行 同样 需要 操作 系统 和 人 硬件 的 文 持 ,例如 ,能 
够 在 Windows 操作 系统 中 运行 的 应 用 软件 是 无 法 在 Linux 操作 系统 上 运行 的 。 应 用 软 
件 通常 都 会 提供 不 同 操作 系统 、 便 件 环境 的 软件 版 本 以 满足 用 户 的 知 求 。 

1.3.3 ”用户 

用 户 指 使 用 终端 的 人 员 。 从 终端 资产 的 所 有 权 角 度 而 言 , 用 户 可 分 为 拥有 者 和 使 用 
者 ;从 终 病 所 处 信息 系统 环境 而 言 ,用户 可 分 为 内 部 用 户 和 外 部 用 户 ; 从 使 用 终端 的 合 规 
性 而 言 ,用户 可 分 为 合法 用 户 和 非法 用 户 ; 从 用 户 的 时 效 性 而 言 ,用户 可 分 为 长 期 用 户 和 
临时 用 户 ;从 权限 等 级 角度 而 言 , 用 户 可 分 为 普通 用 户 和 特权 用 户 ; 从 是 否 共 且 角度 而 言 ， 

过 


| 


全 


用 户 可 分 为 共 至 用 户 和 专 有 用 户 。 

在 信息 系统 中 , 因 不 同 的 功能 需求 ,终端 的 用 户 也 是 不 同 的 。 举 个 例子 : 在 信息 系统 
中 ,运行 Web 应 用 的 服务 化 类 型 终 病 怠 会 面临 多 种 用 户 。 服 务 磊 上 运行 的 Web 应 用 程 
序 , 其 服务 对 和 象 主 要 是 外 部 的 访客 ,可 以 理解 为 普通 有 用户。 服务 副本 映 的 运行 维护 由 专门 
的 运行 维护 人 员 负 责 , 而 这 些 运行 维护 人 员 根 据 不 同 角色 可 能 又 会 分 为 管理 员 .安全 审计 
人 员 .应 用 程序 开发 人 员 等 用 户 类 型 。 

用 户 在 终 闪 安全 中 扮 先 的 角色 至 关 重 要 。 信 息 安 全 的 本 质 是 人 与 人 之 间 的 对 抗 : 在 
个 人 层面 ,是 攻击 者 和 合法 用 户 之 间 的 对 抗 ;在 组 织 层面 ,可 能 是 攻击 者 个 人 与 组 织 机 构 
安全 团队 之 间 的 对 抗 ,也 可 能 是 攻击 者 团队 与 组 织 机 构 安全 团队 的 对 抗 ;在 国家 层面 ,是 
各 国家 信息 安全 人 才 和 技术 能 力 的 对 抗 。 用 户 做 好 本 职 范 围 内 的 信息 安全 工作 ， be 
大 到 组 织 机 构 范 围 内 的 信息 系统 安全 工作 ,形成 用 户 参 与 .技术 文 样 . 运 埋 财 环 的 终 站 
全 管理 链 ,提高 组 织 机 构 的 信息 安全 能 力 。 


1 .4 本 书 讨 论 的 范围 


在 本 书 中 涉及 的 终端 是 指 在 组 织 机 构 的 信息 系统 中 可 用 的 信息 系统 设备 以 及 与 网 络 
安全 关联 的 节点 ,包括 计算 机 服务 器 ,工作 站 ,笔记 本 电脑 等 设备 ,其 中 包含 隔 离 网 中 的 
相关 设备 和 抓 岛 机 ( 指 未 与 网 络 或 其 他 终端 连接 的 计算 机 终端 ) 。 对 于 前 述 中 提 及 的 其 他 

领域 中 的 各 类 终端 , 感 兴 趣 的 读者 可 以 参考 相关 方面 的 书籍 深入 学 习 。 

本 书 所 讲 的 终端 安全 是 以 系统 安全 为 核心 ,兼顾 终端 自身 安全 与 数据 安全 ,其 内 涵 主 
要 是 系统 安全 和 应 用 系统 安全 保障 以 及 相关 安全 业务 管理 。 


15 _ _ 习 卉 


. 从 终 病 所 处 环境 来 看 , 终 站 在 狭义 和 广义 上 的 定义 是 什么 ? 

. 造成 终 病 安全 问题 的 内 因 和 外 因 都 有 哪些 ? 

. 终 病 的 分 类 方法 有 哪些 ? 

. 终 妆 主要 由 哪 几 部 分 构成 ? 

. 终 并 人 硬件 主要 是 什么 体系 ? 

. 终 闹 软件 主要 由 哪儿 部 分 组 成 ? 

. 列 淮 日 党 生活 和 等 习 中 接触 过 的 终端 外 部 设备 ,说 明 其 工作 特点 。 
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第 2 音 
”终端 操作 系统 工作 机 制 


操作 系统 是 管理 系统 资源 .控制 程序 和 各 种 服务 .提供 人 机 交互 界面 的 系统 软件 ,是 
终端 硬件 与 应 用 软件 ,用户 之 间 的 沟通 桥梁 ,协调 终端 中 的 硬件 .软件 资源 ,为 用 户 提供 快 
捷 、 高 效 的 服务 。 操 作 系统 安全 是 终端 安全 的 基础 ,终端 安全 的 很 多 安全 措施 都 是 构建 在 
操作 系统 安全 基础 上 的 。 


在 信息 系统 中 ,第 见 的 终 妆 操作 系统 主要 有 Windows 操作 系统 和 UNIX 操作 系统 ， 
这 两 类 操作 系统 占据 终 闪 操作 系统 的 大 半天 下 。 因 此 ,对 这 两 类 操作 系统 的 工作 机 制 需 


要 有 概要 的 了 解 , 这 对 于 理解 后 续 草 忆 中 终端 安全 关注 的 方 自 和 使 用 的 技术 手段 .方法 有 
很 大 帮助。 通过 本 草 的 学 习 , 使 读者 对 操作 系统 的 工作 机 制 有 所 了 解 。 如 采 读 者 已 了 解 
了 操作 系统 的 相关 概念 ,可 以 复习 相关 内 容 或 跳 过 本 章 。 对 于 要 深 和 学习 的 操作 系统 核 
心 部 分 读者 ,本章 仅 起 抛砖引玉 的 作用 ,请 参考 其 他 专业 书籍 。 


2 1 Windows 操作 系统 


Windows 操作 系统 无 论 在 个 人 还 是 组 织 机 构 的 信息 系统 中 都 占有 非常 大 的 比例 。 
了 解 Windows 操作 系统 对 于 终端 安全 是 很 有 和 必要 的 。 


2.1.1 Windows 家族 


由 于 微软 公司 Windows 操作 系统 友好 吻 用 的 人 机 交互 界面 以 及 大 量 的 应 用 软件 ,使 
其 在 商业 用 户 和 家 诗 用 户 终端 操作 系统 中 占有 很 大 比例 。Windows 家 族 包 括 Windows 
NT 和 Windows IoT 两 个 大 系列 。Windows NT 系列 包含 Windows、Windows Server、 
Windows PE 3 个 子 系列 ,Windows IoT 系列 主要 指 Windows CE, 现 已 更 名 为 Windows 
Embedded Compact， 包 会 Windows Embedded Industry、Windows 上 Embedded 
Professional .Windows Embedded Standard、Windows Embedded Handheld 和 Windows 
Embedded Automotive。 Windows 家 族谱 系 如 图 2-1 所 示 。 随 春 微软 公司 Windows 版 
本 的 推进 ,各 系列 都 出 现 了 32 位 和 64 位 两 种 版 本 并 存 的 情况 。 

除 上 述 两 大 系列 外 ,Windows 9x、Windows Mobile、Windows Phone 系列 由 于 各 方 
面 原 因 已 不 再 开发 。 

根据 面向 的 用 户 和 使 用 场景 的 不 同 ,Windows 操作 系统 可 分 为 以 下 3 种 版 本 。 
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1. 个 人 用 尸 版 本 

这 种 版 本 的 Windows 操作 系统 主要 面 癌 主流 台式 计算 机 、 笔 记 本 电脑 和 工作 站 , 主 
要 包括 Windows NT 3.1、Windows NT 3.5.1、Windows 95、Windows 98 、Windows XP、 
Windows Vista、Windows 7、Windows 8(Windows 8.1)、Windows 10 等 面 回 个 人 用 户 
(包括 商业 用 户 ) 的 操作 系统 。 而 且 随 者 商业 化 的 演进 ,根据 不 同 的 用 户 和 群体 ,微软 公司 还 
细 分 出 面 回 个 人 、 企 业 和 教育 行业 的 专业 版 .家 寿 版 .企业 版 .教育 版 等 在 功能 上 有 所 区 分 
的 Windows 操作 系统 。 


2. 服务 器 版 本 

这 种 版 本 的 Windows 操作 系统 主要 面 回 企业 用 户 、 商业 用 户 , 主 要 包括 Windows 
NT 3.5、Windows NT 4.0、Windows 2000、Windows Server 2003、Windows Server 2008 、 
Windows Server 2012 、Windows Server 2016 、Windows Server 2019 等 服务 器 操作 系统 
版 本 。 


3. 设备 专用 版 本 

这 种 版 本 的 Windows 操作 系统 主要 面 品 平板 电脑 和 移动 设备 ,其 中 包括 面 加 智能 家 
电 的 Windows XP Media Center Edition、 Windows XP Table PC Edition、Windows RT 
系列 操作 系统 , 面 回 移动 终 线 的 Windows Mobile、Windows Phone、Windows 10 Mobile 
系列 操作 系统 ,以 及 面 品 区 入 式 终 端的 Windows Embedded、Windows Embedded 
Compact 系列 操作 系统 。 


2.1.2 概念 和 工具 


1. 概念 

下 面 简 要 介绍 Windows 系统 中 最 重要 的 几 个 概述 。 

1) Windows API、 例 程 和 动态 链接 库 

Windows APICApplication Programming Interface, 应 用 编程 接口 ) 指 Windows API 
中 已 被 文档 化 的 .可 和 被 调用 的 例 程 , 其 中 通 稼 包含 效 据 结构 对象 类 、 变 量 和 调用 的 规范 。 
Windows API 根据 任务 属性 可 分 为 用 户 界 面 、Windows 环境 (Shell) 用户 输入 和 消 晶 
数据 访问 和 存储 、 诊 断 、 图 形 和 和 多媒体、 设备、 系统 服务 、 安 全 和 里 份 管 理 、 应 用 程序 安全 和 
服务 、 系 统 官 理 .网 络 等 基本 大 类 , 窗 盖 了 Windows 系统 的 各 个 方面 。 

例 程 (routine, 或 称 为 内 核 文 持 力 数 ) 是 Windows 操作 系统 内 置 的 且 仪 在 内 核 模 式 下 
调用 的 男 数 。 

动态 链接 库 (Dynamic-Link Library, DLL) 是 Windows 系统 中 的 共 盏 库 , 可 以 包含 任 
意 的 代 人 码 、 数 据 和 资源 类 的 二 进 制 文 件 ,应 用 程 夺 可 oki 些 二 进 制 文件 。 在 
Windows 和 DLL。 应 用 程序 在 运行 过 程 中 可 以 共 圣 DLL ,这样 ,在 
内 存 中 只 需 运 行 一 个 共享 的 DLL 代码 。 

2 ) 作业 进程 和 线程 

作业 (job) 是 用 户 回 计算 机 提交 的 任务 实体 ,其 主要 功能 是 将 一 组 进程 作为 一 个 整体 
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进行 管理 和 维护 。 作 业 对 象 允 许 对 特定 的 属性 进行 控制 ,也 可 以 对 进程 或 者 与 作业 关联 
的 进程 进行 限制 。 一 个 作业 可 以 包含 多 个 进程 ,日 一 个 作业 最 少 包含 一 个 进程 。 

进程 (process) 是 完成 用 户 任务 的 执行 实体 ,在 操作 系统 内 用 进程 控制 块 来 表示 ,其 
中 包含 执行 程序 特定 实例 时 所 用 到 的 各 种 资源 。 通 常 一 个 进程 包含 多 个 线程 , 且 人 至少 包 
含 一 个 线程 。 从 抽象 层次 来 看 ,Windows 进程 是 由 以 下 元 素 构成 的 : 

(1) 私有 虚拟 地 址 空间 。 一 个 进程 可 以 使 用 的 一 组 虚拟 内 存 地 址 范围 。 

(2) 可 执行 程序 。 给 定 的 初始 代码 和 数据 ,并 映射 到 进程 的 虚拟 地 址 空间 中 。 

(3) 句柄 。 用 于 指 问 各 种 系统 资源 ,例如 通信 端口 文件。 一 个 进程 内 的 所 有 线程 都 
可 以 访问 这 些 系 统 资源 。 

(4) 访问 令 脾 (access token) 是 一 组 安全 上 下文 ,用 于 标识 与 该 进程 关联 的 用 户 、 安 
全 组 .特权 、UACCUser Account Control ,用 户 账 户 控制 ) 虚 拟 化 状态 、 会 话 以 及 与 进程 有 
关 的 受 限 用 户 账 户 状 态 。 

(5) 唯一 标识 和 从, 即 进程 ID。 在 系统 内 部 ,进程 ID 也 是 客户 ID 标识 符 的 一 部 分 。 

(6) 执行 线程 。 数 量 至 少 为 一 个 ,但 不 排除 创建 一 个 没有 用 处 的 “ 空 ”进程 的 可 能 性 。 

线程 (thread) 是 Windows 调度 执行 进程 时 的 实体 ,也 是 程序 执行 的 最 小 单位 。 如 果 
没有 线程 ,进程 所 属 的 程序 将 无 法 运行 。 

尽管 每 个 线程 有 目 身 的 执行 环境 ,但 是 ,同一 个 进程 中 的 所 有 线程 共 孚 该 进程 的 虚拟 
地 址 空间 和 其 他 资源 ,这 意味 看 进程 内 的 所 有 线程 都 可 以 完全 地 该 或 者 写 该 进程 的 虚拟 
地 址 空间 。 

3) 用 户 模 式 和 内 核 模 式 

为 了 避免 关键 的 操作 系统 数据 被 用 户 应 用 程序 访问 、 修 改 ,Windows 使 用 了 两 种 处 
理 器 访问 模式 : 用 户 模式 和 内 核 模式 。 用 户 应 用 程序 运行 在 用 户 模 式 (Ring3) 下 ,而 操作 
系统 代 人 码 ( 例 如 系统 服务 和 设备 驱动 程序 ) 运 行 在 内 核 模 式 (Ring0) 下 。 

实际 上 ,x86 和 x64 处 理 需 以 构 定 义 了 4 种 特权 级 ,或 者 称 为 4 个 环 (Cring) ,如 图 2-2 
所 示 ,Ring0 为 最 高 级 ,Ring3 为 最 低级 。 特 权 级 主要 用 于 保护 系统 代码 和 数据 不 会 被 低 
级 别 的 代码 亚 意 或 无 意 地 改写 。Windows 以 特权 级 0(Ring0) 作 为 内 核 模式 ,以 特权 级 3 
(Ring3) 作 为 用 户 模式 。Windows 之 所 以 只 使 用 两 个 特权 级 ,是 因为 它 过 去 文 持 的 一 些 
硬件 架构 (例如 Compaq Alpha 和 Silicon Graphics MIPS) 只 实现 了 两 个 特权 级 。 

由 于 在 内 核 模式 下 ,操作 系统 和 设备 驱动 程序 代码 共享 同一 个 虚拟 空间 ,一旦 恶意 程 
序 通 过 Rootkit( 恶 意 获 取 未 经 允许 的 管理 权限 或 根 权 限 的 恶意 代码 )、Bootkit(CRootkit 
的 变 体 ,感染 便 盘 引导 区 域 的 恶意 代 但 ) 等 方式 进入 了 内 核 醒 式 , 台 可 以 任意 访问 系统 空 
间 的 内 存 , 从 而 绕 过 Windows 的 安全 机 制 直接 访问 对 象 。 在 64 位 版 本 的 Windows 中 ， 
采用 了 内 核 模 式 代 码 签 名 (Kernel Mode Code Signing ,KMCS) 策 略 ,对 64 位 设备 驱动 程 
序 必须 经 过 茶 个 主 认 证 权威 机 构 发 放 的 密 钥 进行 签名 后 才 可 运行 。 但 是 ,这 个 安全 措施 
可 以 通过 高 级 引导 选项 中 的 “禁用 驱动 程序 强制 签名 ”或 本 地 组 策略 编辑 器 中 的 "设备 驱 
动 程序 的 代码 签名 ”来 规避 。 

4) 终 病 服务 及 会 话 

终端 服务 是 指 在 单个 系统 中 Windows 对 于 多 个 可 交互 用 户 会 话 的 支持 。 利 用 
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应 用 程序 
图 2-2 特权 级 


Windows 的 终端 服务 ,远程 用 户 通 过 在 其 他 主机 上 建立 会 话 的 方式 在 服务 磊 上 登录 并 运 
行 应 用 程序 ,服务 硕 将 图 形 用 户 界 面 和 可 配置 的 其 他 资源 (例如 音频 和 剪贴 板 等 ) 传 送 给 
客户 机 ,客户 机 将 远程 用 户 的 输入 传 回 服务 大 ,完成 交互 过 程 。 

Windows 的 客户 机 版 本 允许 用 户 采 用 本 地 或 远程 方式 使 用 Windows 客户 机 系统 ， 
但 不 允许 同时 以 这 两 种 方式 使 用 系统 。 

Windows 的 服务 需 版 本 可 以 通过 远程 果 面 连接 程序 (mstsc.exe) 建 立 连接 会 话 , 文 持 


两 个 并 发 的 远程 连接 以 及 两 个 以 上 的 远程 会 话 ( 需 要 适当 的 授权 许可 ,并且 系统 被 配置 为 
终端 服务 需 ) 。 
5) 对 象 


在 Windows 操作 系统 中 ,内 核对 象 是 一 个 静态 定义 的 对 象 类 型 的 单个 运行 时 实例 。 
对 象 类 型 包括 系统 定义 的 数据 类 型 .对 数据 类 型 的 实例 进行 操作 的 函数 以 及 一 组 对 象 属 
性 。 例 如 ,在 Windows 中 ,一 个 进程 是 进程 对 象 类 型 的 实例 ,一 个 文件 是 文件 对 象 类 型 的 
实例 。 

对 象 和 普通 数据 结构 之 间 最 根本 的 区 别 在 于 : 对 和 象 的 内 部 绪 构 是 不 透明 的 。 对 于 对 
象 而 言 ,必须 通过 调用 对 象 服务 来 取得 对 象 内 部 的 数据 或 者 将 数据 放 人 数据 对 象 内 部 ,无 
法 直接 读 取 或 者 改变 对 象 内 部 的 数据 。 

通过 被 称 为 对 象 管理 器 的 内 核 组 件 ,对 象 提 供 了 实现 下 列 4 个 重要 操作 系统 任务 的 
下 

(1) 为 系统 资源 提供 可 供 识 别 的 名 称 。 

(2) 在 进程 之 间 共 享 资 源 和 数据 。 

(3) 保护 资源 免 受 未 授权 的 访问 。 

(4) 引用 跟踪 ,允许 系统 获知 对 象 何 时 不 再 使 用 ,以 便 自动 释放 。 

在 Windows 操作 系统 中 ,并 非 所 有 的 数据 结构 都 是 对 象 。 只 有 那些 需要 共享 的 、 保 
护 的 、 命 名 的 或 者 需要 对 用 户 模式 程序 (通过 系统 服务 ) 可 见 的 数据 , 才 会 放 到 对 和 象 中 。 
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6) 安全 性 

Windows 通过 3 种 形式 实现 对 对 和 象 的 访问 控制 。 

第 一 种 称 为 目 主 访问 控制 (Discretionary Access Control, DAC)。 这 种 控制 方式 是 
由 对 和 象 ( 例 如 文件 或 者 打印 机 ) 的 所 有 者 对 其 他 人 访问 该 对 象 的 权限 进行 授权 或 者 拒绝 。 
其 实现 过 程 为 : 当 用 户 登 录 系 统 时 ,提供 一 组 安全 凭据 或 安全 上 下 文 , 用 户 尝 试 访问 对 象 
时 ,将 用 户 的 安全 凭证 或 安全 上 下 文 与 要 访问 对 象 的 访问 控制 列表 进行 比较 ,确定 该 用 户 
是 否 拥有 执行 所 请 求 的 操作 的 权限 。 

第 二 种 称 为 特权 访问 控制 (Privileged Access Control,PAC)。 当 第 一 种 方式 不 能 满 
足 需 要 时 ,需要 采用 这 种 方式 。 如 果 对 象 的 所 有 者 已 失效 ,采用 PAC 方式 可 以 确保 某 人 
能 够 访问 受 保 护 的 对 象 。 例 如 ,如 果 某 个 员工 离开 了 公司 ,管理 员 需 要 一 种 可 以 访问 仅 该 
员工 可 以 访问 的 文件 的 方法 ,管理 员 能 够 获取 这 些 文件 的 所 有 权 , 以 便 根 据 需要 管理 其 访 
问 权 限 。 

第 三 种 称 为 强制 完整 性 控制 (Mandatory Integrity Control, MIC)。 当 需要 额外 的 安 
全 控制 保护 同一 个 用 户 账户 内 部 的 对 象 访问 时 ,需要 使 用 强制 完整 性 控制 。 它 用 于 将 IE 
(Internet 下 xplorer) 的 安全 保护 模式 和 用 户 的 配置 隔离 开 , 也 用 于 确保 那些 由 提升 权限 的 
管理 员 账 户 创 建 的 对 象 不 能 被 未 提升 权限 的 管理 员 账 户 访问 。 

安全 性 涉及 Windows API 的 方方面面 。Windows 子 系统 实现 了 基于 对 象 的 安全 
性 ,其 方式 与 操作 系统 的 做 法 相同 : Windows 子 系统 通过 在 共享 的 Windows 对 象 上 设置 
Windows 安全 标识 符 ( 在 2.1.4 节 中 介绍 ) 来 避免 未 授权 的 访问 。 当 应 用 程序 第 一 次 尝试 
访问 茶 个 共 至 对 象 时 ,Windows 子 系统 会 对 该 应 用 程序 是 否 有 权 这 样 做 进行 验证 。 如 来 
安全 检查 通过 , 则 Windows 了 于 系统 允许 该 应 用 程序 执行 相关 操作 。 

7) 注册 表 

注册 表 包 含 引 导 和 配置 系统 所 需 的 信息 ,以 及 控制 Windows 操作 的 系统 范围 内 的 软 
件 设置 .安全 数据 库 和 每 个 用 户 的 配置 设置 ,是 Windows 的 系统 数据 库 。 

此 外 ,注册 表 是 一 个 展示 内 存 中 易 失 数据 的 窗口 ,可 以 了 解 系统 中 的 各 类 应 用 、 服 务 、 
驱动 程序 使 用 了 哪些 质 源 ,例如 ,系统 的 当前 人 硬件 状态 (哪些 设备 驱动 程序 加 载 ,使 用 了 哪 
些 资 源 ) 以 及 Windows 的 性 能 计数 硕 ( 通 过 注册 表 果 数 访问 调用 多 取 )。 

注册 表 也 是 一 个 非常 有 用 的 Windows 内 部 信息 来 源 ,因为 它 包 含 了 许多 会 影 啊 系统 
性 能 和 行为 的 设置 。 修 改 注 册 表 (可 运行 regedit.exe 查看 、 编 辑 注册 表 ) 必 须 间 慎 , 错 误 
的 配置 会 导致 Windows 性 能 降低 、 蓝 屏 甚至 无 法 局 动 。 

8) Unicode 

Windows 与 大 多 数 其 他 操作 系统 的 区 别 是 ,在 Windows 中 ,大 多 数 内 部 文本 串 是 以 
16 位 宽度 的 Unicoded 字 符 来 存储 和 处 理 的 。 

有 关 Unicode 的 更 多 信息 ,可 以 参考 www.unicode.org 和 MSDN Library 中 的 相关 
程序 设计 文档 。 


中 Unicode 是 一 个 国际 字符 集 标准 ,是 为 了 克服 传统 的 字符 编码 方案 局 限 性 而 产生 的 。 
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2. 工具 

下 面 介绍 Windows 的 性 能 监视 需 .资源 监视 项 和 Sysinternals 工具 集 。 

1) 性 能 监视 希 和 资源 监视 天 

性 能 监视 带 ( 位 于 “控制 面板 ”一 “省 理工 具 ” 中 ) 包 含 3 项 功能 : 系统 监视 .查看 性 能 
计数 大 日 志 以 及 设置 报 上 索 (通过 数据 收集 右 集 中 包含 的 性 能 计数 血 日 志 、 跟 嗓 和 配置 数据 
等 配合 实施 )。 

性 能 监视 器 包含 用 于 各 种 对 象 的 数 百 个 基础 的 和 扩展 的 计数 器 。 性 能 监视 器 为 每 个 
计数 带 提 供 了 一 个 简要 说 明 .。“ 性 能 监视 天 ?窗口 如 图 2-3 所 示 。 在 Windows Server 
2008 R2 中 ,可 以 通过 快捷 菜单 中 的 * 添 加 计数 器 ”命令 在 * 性 能 监视 器 窗口 中 添加 一 个 
计数 器 ,再 选中 * 说 明 ” 复 选 框 进行 查看 。 在 其 他 版 本 的 Windows 中 ,操作 也 是 类 似 的 ， 
例如 ,在 Windows 10 中 ,通过 "显示 描述 ? 复 选 框 来 查看 计数 硕 的 向 要 说 明 。 

加 性 能 监视 器 
站 ) 次 件 人 F) 操作 () 查看 WW) 窗口 ”帮助 人 0 


生 哆 | 六 | 大 | 国 晤 | 回 慎 
于 要 四 "| 关口 品 克 | NM | 日 


添加 计数 器 属 )... 
将 设置 另存 为 心 ). . 
图 像 另 存 为 C0). .， 
数据 另存 为 信 )... 


清除 CC) 
罪 扎 到 [5 
”显示 选中 的 计数 器 0) 
9;41:25 9:41;35 9;: 赴 9-41:55 8: 到: 吗 9: 和 :35 9; 科 :起 电 际 所 有 计数 器 名 ) 9:41:15 加 ;41:24 
最 新 [ 2 站 .244 平均 | 16.062 最 小 [| 0.185 最 大 Bp 间 [ 1414 


0 卫 
| 下 本 让 - 
显示 | Pl 比例 | 计 趣 器 | 放生 | 汗 有 具 弄 | 


图 2-3 ”性 能 监视 器 


Windows 还 包含 了 一 个 实用 工具 资源 监视 和希 ( 通 过 “开始 ?及 单 中 的 “性 能 监视 
器 ”中 的 “打开 资源 监视 器 ?或 者 “任务 管理 需 ” 一 性 能 ”一 资源 监视 需 ? 来 启动 ) ,可 用 于 
显示 4 种 主要 的 系统 资源 : CPU 内存、 磁盘 和 网 络 。 在 基本 状态 下 ,资源 监视 占 显 示 的 
资源 信息 与 任务 管理 右 中 看 到 的 相仿 ,可 以 通过 扩展 区 域 提供 更 多 的 信息 。 

资源 监视 希 除 在 CPU 选项 卡 中 显示 有 关 每 个 进程 CPU 使 用 率 的 信息 外 ,还 显示 平 
均 CPU 使 用 率 ,可 以 更 好 地 了 解 哪 些 进 程 更 活跃 。 它 还 包含 一 个 服务 及 其 相关 的 CPU 
使 用 率 的 显示 区 。 每 个 服务 托管 进程 由 其 托管 的 服务 组 进行 标识 , 勾 选 某 个 进程 ,将 显示 
出 该 进程 打开 的 关联 句柄 列表 ,以 及 在 进程 地 址 空间 中 加 载 的 关联 模块 列表 (例如 加 载 的 
DLL 模块 ) 。Windows Server 2008 R2 中 的 资源 监视 器 如 图 2-4 所 示 。 

“内 存 ” 选 项 卡 中 显示 的 内 容 与 任务 管理 器 展示 的 内 容 是 相同 的 ,不 同 的 是 “内 存 ” 选 
项 卡 将 信息 内 容重 新 组 织 , 分 为 “使 用 的 物理 内 存 交 内 存 使 用 ”和 "人 硬 中 断 / 秒 ?进行 显示 。 
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二 ) 监视 妖 侨 ) 帮助 00) 


概述 。 CPU 上 -汪汪 | 旺 | 生 国定 半生 | 磋 盘 | 网 络 | 


ps conhost. exe 7 -Te 

器 又 统 中 医 延迟 过 程 调用 和 中 断 释 务 例 程 
口 SFT5tem NT Kernel & Srstem 

DD smss. exe Windows 会 话 管 理 部 

站 esrss. exe 2 Client Server Runtime.. 
口 Evehost. exe [LoocalSerw... indows 厦 备 主 进 程 

器 wininit. exe 7 Windows 启动 应 用 程序 

[DL] csrss. exe Client Server Runtime... 
口 盏 indEON. ET Windows 登录 应 用 程 邦 

口 Php Win. exe CLII 


ECONnhost. ‘REC Control\consoele-0z00000... 


Conhost. 
CoOnhost. 
Gonhost. 
conhost. 
conhost. 


Directors 
DirectorT 
Event 
File 

Fils 


‘BaseNamedCGb jecte 
‘EnownDlls 


‘BaseNamedObjects\ConsoleEwve. .. 
C:\Windows\Srstem32\zh-CN\co. .. 


C:\Windows\Srstem32 


‘REGISTRY\MACHINE‘\SYTSTEM"\Con. . . 
REGISTRTAMACHINE\STSTEMYVCon- . . 


conhost. ex 4 Hey 
conhost. 3 Rey 
conhost. 347 Key REGISTRT\MACHINE‘\STSTEM\Con. .. 
CONnheest. - Kev "REGISTRT\ USER',. DEFAULT\Cont. .. 
CONnheet. 347 ‘REGISTRI\VMACHINE\STSTEM\Con. .. 


a ETE .1. T7601. 17 -\Windows\s. .. 

GDI32. dll .1. 7601. 17: :\Windows\s... 
conhost. r Il33. dil 5. 1. 7600. | :\Windows\s. .. 
conhost. i kernel3a. dll .1.7 17 C:\Windows'\s. .. 
conhost. 了 KERNELBASE. all 6.1.7 17 :\Windowe\s. .. 
COnhost. i LPK. dll .1.7 . :\Windows's. .. 
ETNnheet. MSCTE. dill . 1. 7600. : \Windose'\s. .. 
COnhoet. ? EVCIt. dl11 7. 0. 7600. -Windowe'\s. .. 
CoOnhoet. ntdll. dll .1.7 ,175 C:\Windowse\Ss. .. 
COnhost. dle32. dl11 1.7 .17 C:\Windows\s. .. 
conhost. 了 OLEAUT32. dl1l -1.7 .1751 C:\Windows's. .. 


2-4 资源 监视 项 


物理 内 存 条 状 图 将 物理 内 存 按 照 * 为 硬件 保留 的 内 存 ”“ 正 在 使 用 ”已 修 改 ”“ 备 用 ”和 “可 
用 ”进行 分 类 。 

“磁盘 ?选项 卡 中 显示 每 个 磁盘 活动 的 进程 信息 ,通过 勾 选 相应 的 磁盘 活动 进程 项 ,可 
以 进一步 识别 出 该 进程 在 当前 系统 中 对 哪些 文件 进行 读 写 。 

“网 络 ” 选 项 卡 中 显示 活动 的 网 络 连接 以 及 哪些 进程 拥有 这 些 网 络 连 接 , 在 这 些 网 络 
连接 上 传输 了 多 少数 据 。 通 过 这 些 信息 ,有 可 能 看 到 通过 其 他 途径 很 难 检测 的 后 台 网 络 
活动 。 此 外 ,可 以 按照 进程 方式 组 织 , 查 看 活动 的 TCP 连接 信息 ,包括 远程 和 本 地 的 端 
口 ,地址 以 及 包 延 到 等 效 据 。 侦 听 问 口 列 表 按 照 进 程 排序 显示 ,人 允许 管理 员 查 看 哪些 服务 
(或 应 用 程序 ) 正 在 指定 的 闪 口 等 竺 连接 以 及 相应 的 协议 和 防火 场 状态 信息 。 

2) Sysinternals 工具 集 

Sysinternals 是 提供 给 计算 机 专业 人 员 的 一 组 重要 的 Windows 工具 集 , 这 些 工 具 中 
的 绝 大 部 分 是 由 Mark Russinovich 编写 的 。 最 流行 的 工具 包括 Process Explorer 和 
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Process Monitor。 这 些 工 具 中 有 许多 要 安装 和 执行 内 核 模 式 设 备 驱 动 程序 ,因此 需要 利 
用 管理 员 权 限 运 行 , 如 果 运 行 在 普通 用 户 账户 下 ,只 能 实现 有 限 的 功能 和 输出 。 表 2-1 至 
表 2-6 人 简要 介绍 了 Sysinternals 工具 集中 6 类 工具 的 功能 描述 。 


名 称 


AccessChk 


AccessEnum 


CacheSet 
Contig 
Disk2vhd 


DiskExt 


DiskMon 


DiskView 
Diskl]sage 
EFSDump 
FindLinks 


Junction 


LDMDump 


MoveFile 


NTFSInfo 


PageDefrag 


PendMoves 


Process Monitor 


PsFile 


PsTools 


SDelete 


表 2-1 Sysinternals 文件 和 磁盘 工具 
功能 描述 


显示 指定 的 用 户 或 组 对 资源 的 访问 类 型 ,包括 文件 .目录 注册 表 项 、 全 局 对 和 象 和 
Windows 服务 


显示 文件 系统 和 注册 表 安 全 设置 的 完整 视图 ,查看 系统 中 的 目录 ,文件 和 注册 表 
项 的 访问 权限 


操作 系统 文件 缓存 的 工作 集 参 数 ,控制 最 大 和 最 小 工作 集 ,以 及 重 置 工 作 集 

对 指定 文件 进行 碎片 整理 ,或 对 磁盘 进行 快速 优化 

将 物理 磁盘 内 容 转 换 为 虚拟 人 硬盘 文件 

显示 卷 的 分 区 磁盘 信息 (多 分 区 磁盘 可 驻 留 在 多 个 磁盘 上 ) 以 及 磁盘 分 区 的 位 置 


记录 和 显示 系统 所 有 硬盘 活动 。 该 工具 可 以 最 小 化 到 系统 托盘 中 ,作为 磁盘 活动 


图 形 化 显示 人 磁盘 届 区 映射 ,查看 文件 占用 的 肩 区 

以 目录 方式 查看 磁盘 空间 的 使 用 情况 

查看 显示 授权 访问 加 蜜 文件 的 账户 信息 

报告 指定 文件 的 文件 案 引 和 任何 硬 链 接 ( 同 一 卷 上 的 备用 文件 路 径 ) 
查看 .创建 Windows 2000 及 更 高 版 本 的 NTFS 目录 符号 连接 


准确 检查 磁盘 的 系统 LDM 数据 库 副 本 中 存储 的 内 容 , 该 数据 库 描述 了 Windows 
2000 动态 磁盘 的 分 区 数据 


下 次 重新 引导 时 计划 对 文件 重 命名 和 删除 命令 ,例如 安装 补丁 时 需要 重启 才能 蔡 
换 的 旧 文件 


查看 NTFS 卷 的 详细 信息 , 它 的 转 储 包括 驱动 器 分 配 单元 的 大 小 、 关 键 NTFS 文 
件 所 在 的 位 置 以 及 卷 上 NTFS 元 数据 文件 的 大 小 


对 Windows 分 页 文件 和 注册 表 设 置 文件 碎片 程度 ,并 进行 碎片 整理 
转 储 挂 起 的 重 命名 /删除 值 的 内 容 ,并 在 源 文件 不 可 访问 时 报告 错误 


实时 监控 文件 系统 .注册 表 进程、 线程 和 DLL 的 活动 。 该 工具 结合 了 两 个 传统 
Sysinternals 实用 程序 Filemon 和 Regmon 的 功能 


显示 远程 打开 的 系统 中 的 文件 列表 ,人 允许 按 名 称 或 文件 标识 符 关 闭 打开 的 文件 


列 出 在 本 地 或 远程 计算 机 上 运行 的 进程 ,远程 运行 进程 ,重新 启动 计算 机 , 转 储 事 
件 日 志 


安全 地 删除 现 有 文件 ,以 及 安全 地 擦 除 磁盘 未 分 配 部 分 中 存在 的 任何 文件 数据 
(包括 已 删除 或 加 密 的 文件 ) 


do 
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位 称 


ShareEnum 


SigCheck 


Streams 


Sync 


VolumeID 


多 材 \ 
ADExplorer 
ADInsight 
AdRestore 
PipelList 


PsPing 


TCPView 


Whois 


- 小 


Autoruns 


Handle 


ListDLLs 


PortMon 


ProcDump 


ProcessExplorer 


PsExec 


功能 摘 述 
扫描 网 络 上 的 文件 共享 并 查看 其 安全 设置 以 关闭 安全 漏洞 
显示 文件 版 本 号 .时 间 戳 信息 和 数字 签名 详细 信息 ,包括 证 书 链 
检查 指定 的 文件 和 目录 的 备用 数据 信息 流 , 并 告知 您 在 这 些 文件 中 遇 到 的 任何 命 


名 流 的 名 称 和 大 小 
同步 缓存 数据 到 磁盘 ,并 且 在 系统 出 现 故 障 时 确保 数据 不 会 丢失 
设置 FAT 或 NTFS 驱动 器 的 卷 ID 


表 2-2” ”Sysinternals 网 络 工 具 
功能 描述 
高 级 活动 日 录 查 看 器 和 编辑 副 
LDAP 实时 监控 工具 ,对 活动 目录 客户 端 应 用 程序 进 
Windows Server 2003 活动 目录 对 象 恢复 工具 
显示 系统 上 的 命名 管道 ,包括 每 个 管道 的 最 大 实例 数 和 活动 实例 数 
实现 ping 功能 (TCP ping) ,用 于 测量 延迟 和 带宽 


显示 系统 上 所 有 TCP 和 UDP 端点 的 详细 列表 ,包括 本 地 和 远程 地 址 以 及 TCP 连 
接 的 状态 


查询 指定 的 域名 或 IP 地 址 的 注册 记录 


# 行 故障 排除 


表 2-3 Sysinternals 进程 查看 工具 
功能 描述 


显示 在 系统 启动 或 登录 期 间 要 运行 的 程序 ,启动 各 种 内 置 Windows 应 用 程序 ( 例 
如 Internet Explorer) 的 账户 ,包括 启动 文件 夹 中 的 程序 和 驱动 程序 、Run、 
RunOnce 和 其 他 注册 表 项 


显示 有 关系 统 中 任何 进程 的 打开 句柄 的 信息 


显示 加 载 到 所 有 进程 中 的 所 有 DLL 和 特定 进程 ,或 列 出 加 载 了 特定 DLL 的 进程 ， 


还 可 以 显示 DLL 的 完整 版 本 信息 ,包括 其 数字 签名 ,并 可 以 扫描 未 签名 DLL 的 
进程 


监视 和 显示 系统 上 的 所 有 串 行 和 并 行 端口 活动 


监视 应 用 程序 的 CPU 峰值 并 在 峰值 期 间 生 成 故障 转 储 , 管 理 员 或 开发 人 员 可 以 使 
用 它 来 确定 峰值 的 原因 。 它 还 可 以 进行 挂 起 窗口 监视 以 及 未 处 理 的 异 当 监视 ,并 
可 以 根据 系统 性 能 计数 右 的 值 生成 转 储 


显示 有 关 已 打开 或 已 加 载 的 句柄 和 DLL 进程 的 信息 


在 其 他 系统 上 执行 进程 ,完成 控制 台 应 用 程序 的 完全 交互 ,而 无 须 手 动 安装 客户 
纹 软件, 是 一 种 轻 量 级 的 Telnet 符 代 唱 


名 外 
PsGetSid 
PsKill 
PsList 
Psvervice 
PsSuspend 


ShellRunas 


VMMap 


4 尔 


AccessChk 


AccessEnum 


Autologon 
PsLoggedOn 


PsLogList 


RootkitRevealer 


Sysmon 


洗 称 
ClockRes 


Corelnfo 


LiveKd 
LoadQ)rder 
Logonmesslons 


PendNMoves 
RAMMap 


WinObj 


第 2 章 终端 操作 系统 工作 机 制 


功能 描述 
将 内 置 账户 、 域 账户 和 本 地 账户 的 SID 转换 为 名 称 
终止 本 地 或 远程 计算 机 中 的 进程 
显示 有 关内 存 、 进 程 和 线程 的 信息 
Windows 的 服务 查看 器 和 控制 器 
通过 Shell 的 上 下 文 菜单 以 不 同 的 用 户 身份 启动 程序 
是 一 个 进程 虚拟 和 物理 内 存 分 析 实 用 程序 ,用 于 查看 进程 提交 的 虚拟 内 存 类 型 的 
详情 ,以 及 操作 系统 为 这 些 类 型 分 配 的 物理 内 存 ( 工 作 集 ) 的 大 小 
表 2-4 ” Sysinternals 安全 工具 
功能 描述 


显示 指定 的 用 户 或 组 访问 资源 的 类 型 ,包括 文件 .目录 ,注册 表 项 、 全 局 对 象 和 
Windows 服务 


显示 文件 系统 和 注册 表 安 全 设置 的 完整 视图 ,查看 系统 上 的 目录 文件 和 注册 表 
项 的 访问 权限 

配置 Windows 的 内 置 日 动 登录 机 制 ,指定 的 用 户 可 以 使 用 输入 的 和 凭据 日 动 登录 ， 
而 不 用 输入 用 户 名 和 密码 


显示 本 地 登录 的 用 户 和 通过 本 地 计算 机 或 远程 计算 机 的 资源 登录 的 用 户 


显示 本 地 或 远程 计算 机 中 转 储 事件 日 志 的 内 容 , 人 允许 在 当前 安全 凭证 集 不 允许 访 
问 事件 日 志 的 情况 下 登录 到 远程 系统 ,检索 事件 日 志 中 的 消息 


Rootkit 检测 实用 程序 
监视 和 记录 系统 活动 , 写 人 Windows 事件 日 志 


表 2-5 Sysinternals 系统 信息 工具 
查看 系统 时 钟 的 精度 


显示 人 逻辑 处 理 器 与 其 所 在 的 物理 处 理 器 ,NUMA( 非 统一 内 存 访 问 ) 节 点 和 套 接 字 
之 间 的 映射 ,以 及 分 配给 每 个 逻辑 处 理 器 的 缓存 


执行 适用 于 故障 转 储 文件 的 所 有 调试 器 命令 ,查看 系统 内 部 信息 
显示 Windows NT 或 Windows 2000 系统 加 载 设备 驱动 程序 的 顺序 
列 出 系统 中 的 活动 登录 会 话 

给 出 将 在 下 次 引导 时 执行 的 文件 重 命 名 和 删除 命令 的 列表 


物理 内 存 使 用 分 析 实 用 程序 ,用 于 了 解 Windows 管理 内 存 的 方式 ,分 析 应 用 程序 
的 内 存 使 用 情况 


显示 Windows NT 对 和 象 管理 船 的 名 称 空间 的 信息 


3/ 


表 2-6 Sysinternals 其 他 工具 


名 称 功能 描述 
Ce 日 动 在 果 面 背景 上 显示 有 关 Windows 计算 机 的 相关 信息 ,例如 计算 机 名 称 、IP 地 
a 址 ,Service Pack 版 本 等 
屏幕 保护 程序 ,不 仅 可 以 真实 地 模仿 Windows 的 死机 蓝屏 ,还 可 以 模仿 系统 启动 
BlueScreen 
过 程 中 的 画面 
、 、 内 核 模式 驱动 程序 ,过 滤 系 统 的 键盘 类 驱动 程序 ,以 便 将 大 写 锁定 字符 转换 为 控 
Ctrl2Cap 
制 字 符 
Debug View 监视 本 地 系统 或 网 络 上 可 通过 TCP/IP 访问 的 任何 计算 机 上 的 调试 输出 


允许 在 最 多 4 个 虚拟 桌面 上 运行 应 用 程序 ,可 以 通过 单 击 托盘 图 标 打开 上 昌 面 预览 
和 切换 窗口 ,或 使 用 热 键 来 创建 和 切换 桌面 


Hex2 Dec 十 六 进 制 数 与 十 进 制 数 相互 转换 
用 于 检测 朋 滥 , 挂 起 并 导致 Windows 系统 内 核 内 存 泄 汤 的 工具 ,对 于 识别 和 诊断 


Desktops 


“oYyTau 1 | 设备 驱动 程序 和 硬件 问题 非常 有 用 
EE 更 改 本 地 或 远程 系统 上 的 账户 密码 ,使 管理 员 能 够 针对 他 们 管理 的 计算 机 创建 运 
四 行 PsPasswd 的 批 处 理 文件 ,以 便 大 规模 更 改 账 户 密码 
pe cptdow 支持 关闭 或 重新 启动 本 地 或 远程 计算 机 ,还 可 以 注销 控制 台 用 户 或 锁定 控制 台 
et (锁定 需要 Windows 2000 或 更 高 版 本 ) 
搜索 并 删除 包含 般 人 式 空 字符 的 注册 表 项 ,这 些 空 字符 是 标准 注册 表 编 辑 工具 无 
RegDelNull 
法 删除 的 
RegistryUsage | 查看 指定 注册 表 项 的 注册 表 空 间 使 用 情况 
KegJump 跳 转 到 注册 表 中 指定 的 注册 表 路 径 
Strings 扫描 文件 的 Unicode 字符 串 信 息 
Zoomlt 放大 屏幕 


Sysinternals 为 了 方便 用 户 使 用 ,将 一 些 销 用 工具 集成 在 工具 套件 中 ,主要 是 
PsTools 和 Sysinternals Suite Py 工具 集 。PsTools 主要 包含 Windows NT 和 Windows 
2000 命令 行 工具 ,侧重 于 管理 远程 系统 以 及 本 地 系统 。Sysinternals Suite 主要 包 人 会 各 个 
故障 排除 工具 和 帮助 文件 。 


2.1.3 管理 机 制 
本 节 介 绍 Windows 系统 的 注册 表 、 服 务 和 WDI。 
rs Windows 系统 的 配置 和 控制 方面 是 非常 关键 的 , 它 负 责 存 储 系统 全 局 配置 
言 县 和 每 个 用 户 的 配置 信息 白 
1) 查看 和 修改 注册 表 
通常 用 户 不 需要 和 耳 接 编辑 注册 表 。 如 果 和 存储 在 注册 表 中 的 应 用 程序 设置 和 系统 设置 
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需要 手工 修改 , Windows 提供 了 图 形 界 面 工具 和 命令 行 工 具 , 用 于 碍 看 和 修改 注册 表 。 

Windows 目 市 图 形 界 面 工 具 Regedit.exe 以 及 一 些 命 令 行 工 具 用 于 编辑 注册 表 。 例 
如 ,Reg.exe 具有 导入 、 叶 出 、 备 份 和 恢复 注册 表 键 的 功能 ,也 可 以 比较 ,修改 和 删除 注册 
表 键 和 值 , 它 也 可 以 设置 或 者 查询 在 用 户 账 户 控 制 (User Account Control, UAC) 中 虚拟 
化 的 各 种 标记 ;Regini.exe 则 允许 将 包括 配置 数据 的 ASCII 或 Unicode 文本 文件 导入 注 
册 表 。 

2) 注册 表 的 数据 类 型 

注册 表 是 一 个 类 似 于 文件 系统 目录 结构 的 数据 库 , 主 要 由 键 (key) 和 值 (value) 组 成 。 
键 类 似 于 目录 ,是 可 以 包含 其 他 的 键 ( 子 键 ) 或 伸 的 容 兹 ,最 顶级 的 键 是 根 键 (root key)。 
值 类 似 于 目录 中 的 文件 ,存储 的 是 数据 。 

注册 表 也 采用 了 文件 系统 的 命名 规范 。 例 如 ,technologyN\develop 唯一 标识 了 一 个 
存储 在 名 为 technology 的 键 下 面 的 名 为 develop 的 值 。 注 册 表 这 种 命名 方案 的 一 个 特例 
是 每 个 键 部 有 一 个 未 命名 的 值 , 注 册 表 将 未 命名 的 值 显示 为 Default( 上 默认 )。 注 册 表 的 值 
文 持 不 同类 型 的 数据 , 表 2-7 列 出 了 12 种 标准 的 类 型 。 大 多 数 注 册 表 的 值 是 REG_ 
DWORD.REG BINARY 或 REG SZ. 


表 2-7 注册 表 的 12 种 标准 值 类 型 
REG NONE 没有 值 类 型 
国定 长 度 的 Unicode 字符 串 ,通常 以 NUL 
REG SZ 
- 字符 结束 
加 二 可 变 长 度 的 Unicode 字符 串 , 可 内 钥 环 境 
BR 变量 ,通常 以 NUL 字符 结束 
REG BINARY 任意 长 度 的 二 进 制 数 据 


REG DWORD/REG DWORD LITTLE ENDIAN 


REG_ DWORD BIG_ ENDIAN 


KEG LINK 

下 上 EU MULII SZ 

REG RESOURCE _LIST 

REG FULL RESOURCE DESCRIPTOR 
KREG RESOURCE REQUIREMENTS LIST 


REG_ QWORD/REG QWORD_LITTLE_ENDIAN 


双 字 (32 位 ) 无 符号 整数 ( 值 范围 为 0 一 
4 294 967 295) 


双 字 (32 位 ) 无 符号 整数 ( 值 范 围 为 0 一 
4 294 967 295) ,高 位 优先 


指向 其 他 注册 表 项 的 Unicode 符号 链接 
以 NUL 字符 结尾 的 Unicode 字符 串 数组 
硬件 资源 列表 

硬件 资源 描述 列表 

资源 需求 列表 

四 字 节 ,64 位 整数 


REG _LINK 是 一 个 比较 特殊 的 类 型 , 它 人 允许 一 个 键 可 以 透明 地 指向 另 一 个 键 。 通 过 


链接 遇 历 注册 表 时 ,路径 搜 索 将 在 链接 的 目标 上 继续 进行 。 例 如 ,如 采 \RootNLink 是 一 


JS 


个 指向 \Root2\RegKey 的 REG_LINK 值 ,并 日 RegKey 包含 了 值 RegValue, 就 可 以 通过 
两 条 路 径 来 定位 RegValue: \Rootl\Link\RegValue 和 \Root2\RegKey\RegValue。 

3) 注册 表 的 逻辑 结构 

注册 表 共 有 6 个 根 键 ( 根 键 不 可 增加 、 修 改 和 删除 ) ,如 表 2-8 所 示 。 因 为 根 键 的 名 称 
代表 了 指向 键 的 Windows 句柄 (handle) ,所 以 根 键 的 名 称 均 以 H 开头 。 


表 2-8 6 个 根 键 
根 键 肖 写 说 明 
HKEY_CURRENT_USER HKCU | 存储 当前 登录 用 户 的 相关 配置 数据 
HKEY_USERS HKU 存储 本 地 计算 机 所 有 账户 的 信息 


存储 有 关 已 注册 应 用 程序 的 信息 、 文 件 关 联 和 组 


[> 
WE 
件 对 象 模型 (COM) 的 对 象 注册 信息 
EE 
ed 
Hkce 


HKEY_CLASSES ROOT 


HKEY LOCAL MACHINE 存储 本 地 计算 机 的 设置 


性 能 数据 ,或 运行 提供 性 能 数据 的 系统 驱动 程 
序 ,程序 和 服务 


当前 硬件 配置 信息 


HKREY_ PERFORMANCE DATA 
HKEY _CURRENT CONFIG 


(1) HKEY_CURRENT_USER(HKCU)。HKCU 包含 本 地 登录 用 户 的 首选 项 和 与 
软件 配置 有 关 的 数据 , 它 指 癌 当前 登录 用 户 的 用 户 配 置 文件 ,位 于 便 盘 上 的 \Users\ 二 用 
户 名 二 \Ntuserdat 中 。 每 当 加 载 用 户 的 配置 信息 (例如 ,登录 时 或 者 运行 在 某 个 特定 用 
户 上 下 文中 的 服务 进程 时 ), 都 会 创建 HKCU 并 映射 到 HKEY USERS 下 该 用 户 的 键 
上 。 表 2-9 列 出 了 HKCU 的 一 些 子 键 。 


表 2-9 HKCU 的 一 些 子 键 


学 键 说 明 
AppEvents 声音 /事件 的 关联 
Console 命令 窗口 设置 (例如 长 度 、 宽 度 、 高 度 、 颜 色 等 ) 


Control Panel 
Environment 
EUDC 

ldentities 
Keyboard Layout 
Network 

Printers 

Software 


Volatile Environment 


屏幕 保护 程序 . 蝎 面 方案 .键盘 和 鼠标 设置 以 及 可 访问 性 和 区 域 设置 
环境 变量 定义 

终端 用 户 和 定义 的 字体 信息 

Windows 邮件 账户 信息 

键盘 布局 设置 (例如 不 同 语言 ) 

网 络 驱 动 器 的 映射 和 设置 

打印 机 连接 设置 

用 户 特 定 的 软件 自选 参数 设置 

可 变 的 环境 变量 定义 
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(2) HKEY_USERS(HKU)。HKU 包含 系统 中 每 个 加 载 的 用 户 配 置 文件 和 用 户 类 
注册 数据 库 的 子 键 。 它 还 包含 一 个 名 为 HKU\.DEFAULT 的 子 键 ,该 子 键 链接 到 系统 
的 配置 文件 ( 供 运 行 在 本 地 系统 账户 下 的 进程 使 用 )。 例 如 , 当 用 户 第 一 次 登录 到 一 个 系 
统 中 并 且 账 户 不 依赖 于 域 配 置 文件 时 ,系统 以 SystemDrive%\Users\Default 下 的 默认 
配置 文件 为 基础 ,为 该 用 户 创建 一 个 配置 文件 。 

(3) HKEY_CLASSES _ ROOT(HKCR)。HKCR 包含 3 种 信息 : 文件 扩展 名 关联 、 
COM 类 注册 信息 和 用 户 账 户 控 制 (User Account Control, UAC) 的 虚拟 化 注册 表 根 。 该 
键 包 括 所 有 文件 扩展 名 和 与 执行 文件 相关 的 文件 , 除 关 联 对 象 外 ,还 与 程序 图 标 .执行 的 
命令 动作 每 键 值 相 关联 。 例 如 ,\HKCR\.xls 关联 类 似 \HKCR\Excel.Sheet.8 的 键 ,在 其 
中 包含 此 类 文件 显示 的 属性 键 值 (例如 ,\HKCR\ Excel.Sheet.8\DefaultIcon 中 存储 的 内 
容 、 键 值 C:\WINDOWS\Installer\{90160000-0011-0000-1000-0000000FF1CE})\) 以 及 其 
他 相关 配置 信息 。 

(4) HKEY _ LOCAL MACHINE(HKLM)。HKLM 是 包含 系统 全 局 范围 的 配置 子 
键 的 根 键 类 型 ,这 些 配 置 子 键 为 BCD00000000、COMPONENTS (根据 需要 加 载 )、 
HARDWARE.SAM.SECURITY .SOFTWARE 和 SYSTEM。 

HKLM\ BCD00000000 子 键 包含 引导 配置 数据 库 (Boot Configuration Database， 
BCD) 信 息 ,该 数据 库 取 代 了 在 Windows Vista 之 前 操作 系统 中 使 用 的 Boot.ini 文件 ,为 
每 次 安装 引导 配置 数据 提供 了 极 大 的 灵活 性 和 良好 的 隔离 性 。 

HKILM\COMPONENTS 子 键 包含 与 基于 组 件 的 服务 (Component Based Servicing， 
CBS) 堆 栈 的 信息 。 为 了 服务 目的 制定 的 CBS API 使 用 此 注册 表 键 中 的 信息 标识 出 已 安 
沪 的 组 件 及 其 配置 信息 。 在 安 疤 、 更 新 或 者 移 除 组 件 时 ,都 会 使 用 这 些 信 息 , 因 此 可 能 会 
非常 大 。 为 了 优化 系统 资源 使 用 效率 , 通 第 只 在 CBS 栈 请 求 一 个 服务 时 该 键 包含 的 内 容 
才 被 动态 加 载 和 介 载 。 

HKLM\HARDWARE 子 键 维护 系统 中 的 旧 有 硬件 和 一 些 从 硬件 设备 至 驱动 程序 
的 映射 关系 的 描述 信息 。 在 现代 操作 系统 中 ,可 能 只 有 一 些 外 设 的 数据 ,例如 键盘 、 忌 标 
和 ACPI BIOS 数据 。Windows 系统 的 设备 管理 硕 ( 控制 面板 ”设备 管理 希 ” 一 “详细 
言 县 ”) 可 以 向 要 地 该 取 HARDWARE 键 中 的 值 ,查看 注册 表 人 硬件 信息 。 

HKLM\SAM 保存 本 地 账户 和 组 的 信息 ,例如 用 户口 令 、 组 定义 和 域 天 联 信 息 。 在 
作为 域 控制 器 运行 的 Windows Server 系统 中 ,活动 目录 (Active Directory,AD) 作 为 保存 
域 的 设置 和 信息 的 数据 库 ,会 保存 域 账户 和 组 的 信息 。 默 认 情 况 下 ,SAM 键 中 的 安全 标 
识 符 已 经 在 安装 时 配置 完成 ,即使 是 管理 员 账 户 也 不 能 访问 。 

HKLM\SECURITY 子 键 保存 系统 全 局 范围 的 安全 策略 和 用 户 权 限 分 配 。HKLMA 
SAM 链接 到 HKLM\SECURITY\SAM 下 的 SECURITY 子 键 。 上 默认 情况 下 ,用 户 不 能 
查看 HKLMN\SECURITY 或 者 HKLMN\SAM\SAM 子 键 的 内 容 , 因 为 这 些 键 的 安全 设置 
是 仅 人 允许 系统 账户 访问 。 而 且 , 其 中 的 口令 信息 使 用 单 癌 映射 进行 加 密 , 因 此 ,无 法 从 加 
蜜 内容 中 得 到 口令 信息 。 

HKLM\SOFTWARE 子 键 是 Windows 用 于 存储 在 系统 引导 时 并 不 需要 的 系统 全 
局 配置 信息 。 此 外 ,第 三 方 应 用 程序 也 将 目 身 的 系统 全 局 设置 和 存放 在 这 里 ,例如 应 用 程序 
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文件 和 目录 的 路 径 .许可 信息 和 程序 注册 过 期 日 期 信息 。 

HKLM\SYSTEM 子 键 包 含 引 导 系 统 所 需 的 系统 全 局 配置 信息 ,例如 加 载 的 设备 驱 
动 程序 和 局 动 的 服务 。 因 为 这 些 信息 对 于 局 动 系统 至 关 重 要 ,所 以 ,Windows 会 保留 此 
信息 的 一 部 分 副本 , 称 为 last known good control set( 最 后 已 知 的 好 控制 集 )。 如 果 当 前 
控制 集 被 修改 后 系统 无 法 正 第 引导 ,省 理 员 可 以 选择 以 前 正常 工作 的 控制 集 启 动 系统 。 
例如 ,在 系统 司 动 出 现 问题 后 ,在 引导 沫 单 中 会 显示 "最 后 一 次 正确 的 配置 ?选项 ,用 于 加 
载 该 配置 副本 (或 者 通过 局 动 时 按 F8 键 显示 引导 于 单 ) 。 

(5) HKEY PERFORMANCE DATA(HKPD)。 在 Windows 中 ,注册 表 也 可 以 提 
供 Windows 访问 性 能 计数 需 什 ,了解 和 监视 系统 的 性 能 。HKED 根 键 的 使 用 只 能 通过 
编程 方式 实现 ,性 能 信息 并 没有 存储 在 注册 表 中 ,而 是 利用 注册 表 相 关 的 键 获 得 性 能 数据 
提供 者 提供 的 相关 数据 来 实现 。 

(6) HKEY_CURRENT_CONFIG(HKCC)。HKEY 根 键 只 是 一 个 指向 HKLM\ 
SYSTEM\CurrentControlSet\ Hardware Profiles\Current 中 当前 人 硬件 配置 文件 的 链接 。 
Windows 虽然 不 再 文 持 便 件 配置 文件 ,但 是 仍然 保留 了 该 根 键 ,以 支持 可 能 依赖 于 该 根 
键 的 旧 有 应 用 程序 。 

4) 监视 注册 表 活 动 

由 于 系统 和 应 用 程序 在 很 大 程度 上 依 顿 于 配置 来 指导 其 行为 ,更 改 注 册 表 数据 或 者 
安全 性 设置 ,系统 或 应 用 程序 可 能 无 法 读 取 它 认 为 始终 能 够 访问 的 设置 内 容 , 由 此 可 能 导 
致 其 无 法 正 党 运行。 此 时 ,系统 或 应 用 程序 可 能 会 显示 一 些 并 非 根 本 原因 的 错误 消 且 ,其 
至 和 耳 接 朋 演 。 在 不 了 解 系 统 或 应 用 程序 如 何 访 问 注 册 表 的 情况 下 ,几乎 不 可 能 知 佣 这 些 
问题 是 由 哪些 注册 表 项 或 值 配 置 错误 引发 的 。 在 这 样 的 情况 下 ,可 以 通过 Windows 
Sysinternals 的 进程 监视 工具 (ProcessMonitor) 查 看 相关 的 内 容 。 

ProcessMonitor 是 Windows 的 进程 监视 工具 ,可 显示 实时 文件 系统 .注册 表 和 进程 / 
线程 活动 。 对 于 每 一 次 注册 表 访 问 ,进程 监视 工具 会 显示 以 下 信息 : 执行 这 次 访问 的 进 
程 ,访问 的 时 间 .类 型 和 结果 ,以 及 访问 时 的 线程 堆栈。 这 些 信 息 有 助 于 了 解 应 用 程序 和 
系统 是 如 何 依赖 注册 表 的 ,了 人 解 应 用 程序 和 系统 的 配置 信息 存储 位 置 ,以 及 解决 由 于 缺失 
注册 表 键 或 值 的 问题 而 出 现 的 应 用 程序 问题 。 

进程 监视 工具 包含 高 级 过 滤 和 加 腕 显示 功能 ,便于 聚焦 在 与 特定 的 键 或 但 有 关 的 或 
者 与 特定 进程 活动 有 关 的 活动 上 。 有 两 种 基本 的 进程 监视 工具 故障 排查 技巧 对 于 发 现 与 
注册 表 有 关 的 应 用 程序 或 系统 问题 非常 有 效 : 

(1) 在 进程 监视 工具 的 跟踪 数据 中 ,查看 应 用 程序 失败 前 执行 的 最 后 的 动作 ,这 个 动 
作 可 能 是 问题 发 生 的 根源 。 

(2) 将 出 现 问 题 的 应 用 程序 的 进程 监视 工具 跟 踩 数据 与 正 稼 运行 的 系统 的 跟踪 数据 
进行 比较 ,其 不 同 点 可 能 是 问题 发 生 的 根源 。 

2. 服务 

操作 系统 为 保障 系统 正常 运行 ,通常 在 系统 局 动 时 会 局 动 一 些 与 用 户 无 关 的 进程 。 
在 Windows 中 ,由 于 此 类 进程 依赖 于 Windows API 与 系统 进行 交互 ,因此 称 之 为 服务 
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(service) 或 者 Windows 服务 (Windows service)。 例 如 ,无 论 是 否 有 网 站 用 户 访 问 Web 
服务 硕 , Web 服务 部 在 运行 ,无须 省 理 员 局 动 该 服务 , 通 当 此 类 服务 需要 配置 为 在 服务 各 
启动 时 就 开始 运行 。 

服务 的 安全 上 下 文 是 服务 开发 人 员 和 系统 管理 员 的 重要 考虑 因素 ,因为 它 决 定 了 有 上 服 
务 进程 可 以 访问 的 资源 。 除 非 服务 安装 程序 或 管理 员 另 行 指定 ,否则 大 多 数 服务 都 运行 
在 本 地 系统 账户 (显示 为 SYSTEM 或 LocalSvstem) 的 安全 上 和 下 文中 。 

另外 两 个 内 置 账户 是 网 络 服务 账户 (Network Service) 和 本 地 服务 账户 (Local 
Service)。 从 安全 角度 来 看 ,此 类 账户 的 权限 小 于 本 地 系统 账户 。 任 何不 需要 本 地 系统 
账户 的 内 置 Windows 服务 都 可 以 在 满足 要 求 的 相应 服务 账户 下 运行 。 

(1) 本 地 系统 账户 。 本 地 系统 账户 是 运行 核心 Windows 用 户 模 式 操 作 系 统 组件 的 
账户 ,这 些 组 件 包 括 会 话 管理 器 (%SystemRoot%ANSystem32\smss.exe)、Windows 子 系 
统 进 程 (csrss.exe)、 本 地 安全 机 构 进 程 (%SystemRoot%ANSystem32\lsass.exe) 和 Logon 
进程 (%SystemRoot%ANSystem32\winlogon.exe) 。 

从 安全 的 角度 来 看 , 当 涉 及 本 地 系统 上 的 安全 能 力 时 ,本 地 系统 
者 域 的 账户 权限 更 大 。 该 账户 具有 以 下 特征 : 

该 账户 是 本 地 管理 员 组 中 的 成 员 。 

拥有 几乎 所 有 权限 (包括 通 稼 并 不 赋予 本 地 管理 员 账 户 的 权限 ,例如 创建 安全 令 
牌 的 权限 ) 。 

拥有 对 绝 大 多 数 文件 和 注册 表 键 的 完全 访问 权限 ,即使 没有 被 赋予 完全 访问 的 权 
限 ,在 本 地 系统 账户 下 运行 的 进程 也 可 以 使 用 “获取 有 所有权” 的 权限 获得 相关 的 访问 权限 ， 

在 本 地 系统 账户 下 运行 的 进程 使 用 默认 的 用 户 配 置 文件 (HKU\.DEFAULT) 运 
行 ,因此 ,这 些 进程 无 法 访问 存储 在 其 他 账户 下 的 用 户 配置 文件 中 的 配置 信息 。 

当 系 统 是 Windows 域 中 的 成 员 时 ,本 地 系统 账户 会 包含 运行 服务 进程 所 在 计算 
机 的 机 融 安 全 标识 符 。 因 此 ,运行 在 本 地 系统 账户 中 的 服务 可 通过 该 计算 机 账户 ,在 同一 
个 域 林 (domain forest, 指 一 个 群 组 域 ) 中 的 其 他 计算 机 上 上 月 动 进 行 号 份 认 证 。 

除非 本 地 系统 账户 被 特别 赋予 对 某 些 资 源 ( 例 如 网 络 共 享 体 、 命 名 管道 等 ) 的 访问 
权限 ,否则 ,进程 可 以 访问 允许 空 会 话 的 网 络 资 源 , 即 允许 建立 不 需要 和 攒 据 的 连接 。 

(2) 网 络 服务 账户 。 网 络 服务 账户 是 利用 计算 机 账户 对 网 络 中 的 其 他 计算 机 进行 身 
份 验证 的 服务 使 用 的 账户 ,其 验证 方式 类 似 于 本 地 系统 账户 ,但 是 不 需要 获得 管理 员 组 的 
成 员 权 限 ,也 不 需要 本 地 系统 账户 的 诸多 权限 。 运 行 在 网 络 服务 账户 下 的 典型 服务 是 
DNS 客户 痊 , 它 负责 解析 域名 和 定位 域 控 制 硕 。 

因为 网 络 服务 账户 并 不 属于 管理 员 组 ,所 以 运行 在 网 络 服务 账户 中 的 服务 在 默认 情 
况 下 只 能 访问 少量 的 注册 表 键 以 及 文件 系统 中 的 文件 夹 和 文件 。 这 样 做 市 来 的 安全 益处 
是 ,即使 网 络 服务 账户 被 攻陷 ,由 于 运行 在 网 络 服务 账户 下 的 进程 无 权 加 载 设备 驱动 程序 
或 者 打开 任意 的 进程 ,系统 党 攻 击 的 范围 也 是 有 限 的 。 

网 络 服务 账户 属于 Network Service 组 ,配置 文件 的 注册 表 组 件 加 载 于 HKU\S-1-5- 
20 下 ,构成 此 注册 表 组 件 的 文件 和 目录 位 于 % SystemRoot% \ ServiceProfiles \ 


NetworkService 中 ， 


账户 比 任 何 本 地 的 或 
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(3) 本 地 服务 账户 。 本 地 服务 账户 属于 Local Service 组 ,该 账户 实际 上 与 网 络 服务 
账户 相同 ,重要 区 别 在 于 本 地 服务 账户 只 能 访问 允许 匿名 访问 的 网 络 资源 。 

Windows 服务 是 由 3 个 组 件 构 成 的 : 服务 应 用 程序 .服务 控制 管理 郑 (Service 
Control Manager,SCM) ,以 及 服务 控制 程序 (Service Control Program,SCP) 。 

1) 服务 应 用 程序 

服务 应 用 程序 由 至 少 一 个 作为 Windows 服务 运行 的 可 执行 程序 组 成 。 用 户 可 以 使 
用 Windows 内 置 的 SCP 局 动 .停止 . 藻 停 .继续 或 者 配置 一 个 服务 。 但 是 ,有 些 服 务 应 用 
程序 包含 了 目 己 的 SCP, 管 理 员 可 以 通过 这 些 SCP 对 服务 程序 进行 配置 。 例 如 ， 
Windows 对 统 中 有 目 种 的 Web 服务 应 用 程序 IISCInternet Information Server) 就 拥有 目 己 
的 配置 界面 ,管理 员 可 以 通过 对 配置 界面 配置 相关 的 参数 。 

当 安 疙 一 个 包含 服务 的 应 用 程序 时 ,该 应 用 程序 的 安 站 程序 必须 回 系 统 注册 相关 的 
服务 ,安装 程序 会 四 服务 所 在 终端 的 SCM 发 送 一 个 消息 ,SCM 会 在 HKLM\SYSTEM\ 
CurrentControlSet\Services 下 创建 一 个 注册 表 项 。 每 个 服务 的 键 中 定义 了 包含 该 服务 
应 用 程序 的 可 执行 映像 的 路 径 .参数 和 配置 选项 。 

东 些 服务 应 用 程序 的 正常 运行 是 有 前 提 的 ,必须 在 操作 系统 引导 过 程 中 初始 化 与 之 
关联 的 服务 ,服务 应 用 程序 才能 正常 运行 。 例 如 ,条 些 服务 应 用 程序 完成 安 站 后 ,要 求 用 
户 重新 启动 系统 ,这 类 服务 应 用 程序 通过 SCM 在 系统 启动 时 启动 相关 服务 来 完成 安装 
和 局 动 服务 的 整个 过 程 。 

2) 服务 控制 管理 器 

服务 控制 管理 郑 (CSCM ) 的 可 执行 文件 是 % SystemRoot%ANSystem32N\Services.exe， 
它 是 作为 一 个 Windows 控制 台 程 序 来 运行 的 。SCM 在 局 动 过 程 中 调用 HKLMA 
SYSTEM\CurrentControlSet\ Control\ ServiceGroupOrder\List 中 的 内 容 , 列 出 定义 好 
的 服务 组 的 名 称 和 有 顺序。 这 样 做 的 主要 原因 在 于 : 如 宁 服 务 或 设备 驱动 程序 需要 依赖 其 
他 服务 项 的 运行 才能 司 动 ,那么 服务 的 注册 表 键 需要 包含 一 个 可 选 的 Group 值 来 指定 相 
关 的 顺序 。 例 如 , Windows 的 网 络 服务 需要 在 网 络 设备 驱动 程序 加 载 之 后 才能 司 动 , 因 
此 网 络 服务 必须 指定 Group 从 来 指定 服务 的 局 动 顺序 。 

SCM 在 内 部 创建 一 个 组 列表 ,用 于 保存 从 注册 表 中 读 取 的 组 的 顺序 。 根 据 HKLM 
SYSTEM\CurrentControlSet\Services 中 的 内 容 , 在 服务 数据 库 中 为 过 到 的 每 个 键 创 
一 个 条 目 ,服务 数据 库 中 的 条 目 包 括 为 服务 定义 的 所 有 与 服务 相关 的 参数 以 及 跟 踊 服务 
状态 的 字段 。SCM 局 动 标 记 为 “ 目 动 启动” 的 服务 和 驱动 程序 ,并 为 这 些 服务 和 驱动 程序 
添加 条 目 ,检测 标记 为 “引导 局 动 " 和 “系统 司 动 ”的 驱动 程序 的 局 动 失 败 情 况 。 

SCM 还 为 应 用 程 厅 提 供 了 查询 驱动 程 厅 状态 的 方法 。 在 执行 任何 用 户 模 式 进 程 之 
前 ,1/O 管理 硕 加 载 标记 为 “引导 司 动 >? 和 ”系统 司 动 ?的 所 有 驱动 程序 ,以 确保 可 以 获得 驱 
动 程序 的 状态 信息 。 

(1) 共享 进程 的 服务 。 为 避免 浪费 系统 资源 , Windows 通过 让 多 个 服务 共享 同一 个 
进程 的 方式 提高 系统 资源 利用 府 ,而 不 是 在 单独 的 进程 中 运行 每 一 个 服务 。 但 是 ,共享 进 
程 的 方式 意味 看 ,如 果 进 程 中 的 任何 一 个 服务 出 现 了 错误 并 寻 致 该 进程 退出 , 则 该 进程 中 
所 有 的 服务 都 将 终止 。 
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在 Windows 的 内 置 服务 中 ,有 些 服务 运行 在 日 己 的 进程 中 ,有 些 服务 与 其 他 的 服务 
共 至 进程 。 共 于 同一 个 进程 的 所有 服务 必须 指定 相同 的 参数 ,因此 反映 在 SCM 的 映像 
数据 库 中 只 对 应 一 条 记录 。 在 共 圣 同一 个 进程 的 服务 局 动 过 程 中 ,如 果 发 现 相 关 的 进程 
已 经 局 动 , 则 其 他 共 人 圣 该 进程 的 服务 以 DLL 方式 加 载 到 进程 中 来 。 

(2) 服务 标记 。 使 用 共 至 进程 的 男 一 个 页 点 是 ,由 于 同一 个 服务 组 中 的 服务 共 圣 内 
存 地 址 空间 句柄 表 、 进 程 的 CPU 计量 值 ,因此 计算 服务 组 中 特定 服务 的 CPU 时 间 、 
CPU 使 用 率 以 及 资源 使 用 率 要 困难 得 多 。 例 如 ,服务 可 能 使 用 工作 线程 来 执行 其 操作 ， 
或 者 线程 的 起 始 地 址 和 堆栈 不 显示 服务 的 DLL 名 称 , 就 很 难 确定 线程 正在 做 什么 样 的 工 
作 ,属于 哪 种 服务 。 

Windows 使 用 一 个 称 为 服务 标记 的 服务 属性 ,SCM 在 创建 服务 时 或 在 系统 引导 期 
间 生 成 服务 数据 库 时 生成 该 属性 。 当 一 个 服务 被 创建 的 时 候 , 或 者 当 在 系统 引导 过 程 中 
服务 数据 库 被 生成 的 时 候 ,SCM 生成 服务 标记 。 该 属性 仅 是 一 个 简单 的 索引 ,用 于 标识 
相应 的 服务 。 通 过 查询 服务 标记 ,可 以 映射 到 相应 的 服务 名 称 上 。 

3) 服务 控制 程序 

服务 控制 程序 (SCP) 是 使 用 SCM 服务 管理 功能 的 标准 Windows 应 用 程序 ， 
Windows 和 包含 了 一 个 SCP 命令 行 访 问 控 制程 序 sc.exe(Service Control Tool ,服务 欣 
制 寓 工具 )。 男 一 个 第 用 的 SCP 是 Windows 目 市 的 服务 MMC(Microsoft Management 
Console, Microsoft 管理 控制 台 ,mmc.exe) 加 载 键 ., 位 于 % SystemRoot%AN\System32A\ 
Filemgmt.dll 中 。 当 SCP 创建 一 个 服务 时 会 指定 一 个 安全 标识 ,将 此 安全 标识 从 与 该 服 
务 在 服务 数据 库 中 的 记录 关联 起 来 ,以 确保 服务 安全 性 。SCP 必须 通知 SCM 如 何 访问 
一 个 服务 。 可 以 请 求 的 服务 访问 方式 包括 查询 服务 状态 .配置 .停止 和 司 动 。 


3. Windows 诊断 基础 设施 

Windows 诊断 基础 设施 (Windows Diagnostic Infrastructure, WDI) 用 于 检测 ,诊断 
常见 的 问题 场景 并 解决 相应 的 问题 ,尽量 减少 用 户 对 此 类 问题 解决 过 程 的 干预 。 
Windows 组 件 通过 触发 器 启动 WDI 与 特定 场景 有 关 的 故障 检测 模块 来 检测 问题 场景 的 
发 生 ,触发 顺 可 以 标示 出 系统 正在 接近 或 者 已 经 处 于 有 问题 的 状态 。 一 且 故 隐 检 测 模 块 
确定 了 根本 原因 , 束 调 用 问题 解决 程 厅 解 决 该 同 题 。 解 决 方案 可 能 非 和 简 单 ,例如 ,改变 
一 个 注册 表 设 置 ,或 者 与 用 户 进行 交互 ,执行 恢复 步 又 或 者 配置 更 改 。WDI 的 主要 功能 
是 为 Windows 组 件 提供 一 个 统一 的 框架 ,以 执行 与 自动 化 的 问题 检测 ,诊断 和 解决 相关 
的 任务 。 

1) WDI 设施 

为 了 在 发 生 问 题 时 能 够 及 时 通知 WDI,Windows 系统 和 应 用 程序 组 件 需 要 加 入 检测 
机 制 。 对 于 系统 和 应 用 程序 组 件 , 可 以 通过 两 种 方式 获知 检测 结果 : 一 种 是 同步 方式 ,组 
件 在 发 现 问题 后 等 待 检测 结果 ,根据 结果 继续 或 中 止 运 行 ; 妨 一 种 是 异步 方式 ,组 件 继续 
运行 ,检测 以 异步 方式 进行 。WDI 通过 两 种 不 同类 型 的 检测 API 来 文 持 这 些 模型 : 

(1) 基于 事件 的 诊断 。 这 种 方式 是 最 小 介入 检测 方案 ,添加 到 组 件 中 而 无 须 对 组 件 
的 实现 进行 任何 更 改 。 这 种 方式 文 持 两 种 基于 事件 的 判断 : 简单 的 场景 和 局 动 /停止 场 
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景 。 人 简单 的 场景 即 启 动 一 个 事件 来 触发 检测 机 制 ,可 以 在 代码 中 的 单个 点 检测 和 表征 的 
改 障 , 它 将 单个 场景 事件 提交 给 WDI1, 以 便 诊 断 和 人 解决 ;在 局 动 /停止 场景 中 ,将 检测 容易 
出 错 的 代 但 路 径 以 记录 其 执行 的 详细 信息 , 仅 在 该 代码 路 径 执 行 时 局 用 话 细 的 上 下 文 事 
件 跟 踩 ,而 在 正常 操作 期 间 则 禁用 详细 的 上 下 文 事件 以 避免 影响 性 能 。 

(2) 按 需 诊断 。 人 允许 应 用 程序 根据 目 身 需求 进行 请 求 诊 断 .与 诊断 进行 交互. 当 诊断 
完成 后 接收 通知 ,并 根据 诊断 的 结果 来 调整 对 应 行为 。 当 需要 在 安全 上 下 文中 执行 诊断 
时 ,尤其 需要 按 需 诊 断 。WDI 可 以 跨越 信任 和 进程 边界 传输 上 下 文 ,并 且 支 持 必要 时 模 
拟 调 用 者 来 复 现 问题 场景 。 

诊断 策略 服务 (Diagnostic Policy Service, DPS) 位 于 %SystemRoot%\System32\\ 
Dps.dll, 实 现 了 大 部 分 的 WDI 场景 后 闹 功 能 。DPS 是 一 个 多 线程 服务 (在 svchost 中 运 
行 ) , 它 接收 按 需 场 景 的 诊断 请 求 , 同 时 监视 和 守护 着 通过 DiagLog( 基 于 事件 诊断 方式 的 
实时 事件 跟踪 会 话 事件 ) 提 交 的 诊断 事件 。DPS 对 组 策略 进行 设置 并 强制 将 组 策略 设置 
用 于 诊断 场景 ,通过 组 策略 编辑 器 (%SvystemRoot%ANSvystem32N\gpedit,msc) 来 配置 诊断 
和 上 月 动 恢 复 选 项 的 设置 信息 。 

3) 诊断 功能 

Windows 内 置 的 诊断 场景 和 工具 如 下 : 

(1) 磁盘 诊断 功能 。 包 含 存储 类 驱动 程序 (% SystemRoot%\System32\Driver\ 
Classpnp.sys) 中 的 上 月 我 监视 分 析 和 报告 技术 (SelfMonitoring Analysis and Reporting 
Technology,;SMART), 用 于 监视 磁盘 的 健康 状 沉 。 当 检测 到 即将 发 生 人 磁盘 故障 时 ,WDI 
通知 和 指导 用 户 进行 数据 备份 。 此 外 ,磁盘 诊断 功能 还 监视 由 于 磁盘 中 关键 系统 文件 损 
坏 导致 的 应 用 程序 崩溃 ,并 通过 Windows 的 文件 保护 机 制 ,在 可 能 的 情况 下 从 备份 缓存 
中 目 动 恢复 已 被 损坏 的 系统 文件 。 

(2) 网 络 诊断 和 故障 排除 功能 。 用 于 处 理 与 网 络 相 关 的 各 种 问题 ,例如 文件 共 孚 、 
Internet 访问 .无 线 网 络 .第 三 方 防 火场 和 一 般 的 网 络 连接 问题 。 

(3) 资源 耗 尽 保护 。 检 测 资源 请 求 是 否 已 经 达到 资源 最 大 值 , 包 括 Windows 内 存 汇 
漏诊 断 和 Windows 资源 耗 尺 检测 和 解决 方法 ,并 加 用 户 发 出 质 源 耗 尺 警告 ,包括 消耗 内 
存 和 资源 最 高 的 应 用 程序 。 用 户 可 以 选择 是 否 终止 这 些 应 用 程序 ,以 释放 相关 资 源 。 

(4) 内 存 诊 断 工 具 。 可 以 由 用 户 在 局 动 时 从 引 寻 管理 硕 中 人 工 执行 ,也 可 以 在 系统 
骨 溃 之 后 ,由 Windows 错误 报告 (Windows Error Reporting ,WER) 自 动 推 荐 执行 。 

(5) 启动 修复 工具 。 用 于 上 自动 修复 某 些 通常 导致 无 法 启动 系统 的 错误 ,例如 ,错误 的 
BCD 设置 .损坏 的 磁盘 结构 (例如 MBR 或 引导 虱 区 ) 以 及 错误 的 驱动 程序 。 当 系统 引导 
失败 时 ,如 果 安 装 了 局 动 修复 工具 ,引导 管理 需 将 自动 启动 修复 工具 ,包括 手动 恢复 选项 
和 命令 行 界 面 环境 。 

(6) 性 能 诊断 功能 。 包 括 Windows 引导 性 能 诊断 、Windows 关闭 性 能 诊断 、 
Windows 待机 /恢复 性 能 诊断 以 及 Windows 系统 啊 应 性 能 诊断 。 基 于 特定 的 时 间 国 人 
和 对 机 制 内 部 行为 的 预期 ,Windows 可 以 检测 由 性 能 不 足 导 致 的 问题 ,并 将 问题 记录 在 
事件 日 志 中 。WDI 通 过 事件 日 志 提 供 解决 方案 ,以 便 用 户 符 试 解决 问题 。 

46 


第 2 章 终端 操作 系统 工作 机 制 


(7) 程序 兼容 性 助手 (Program Compatibility Assistant, PCA)。 用 于 解决 旧版 本 应 
用 程序 在 新 版 本 Windows 上 运行 的 兼容 性 问题 。PCA 检测 由 于 版 本 不 匹配 导致 的 应 用 
程序 安装 失败 ,以 及 由 于 失效 的 二 进 制 文件 和 用 户 账 户 控 制 (User Account Control， 
UAC) 设 置 导致 的 运行 时 失败 。PCA 试图 通过 适当 的 兼容 性 设置 使 得 应 用 程序 从 故障 中 
恢复 。PCA 维护 一 个 已 知 羔 容 性 问题 应 用 程序 的 数据 库 , 在 用 户 局 动 应 用 程序 时 ,PCA 
可 以 检索 该 数据 库 ,以便 通 知 用 户 可 能 存在 的 问题 。 


2.1.4 安全 性 


对 于 操作 系统 来 说 ,其 安全 日 标 主要 包括 标示 系统 中 的 用 户 和 里 份 鉴别 ,依据 系统 安 
全 策略 对 用 户 的 操作 进行 访问 控制 ,保证 系统 日 身 的 安全 性 和 完整 性 ,监督 系统 运行 的 安 
全 性 。 如 果 有 多 个 用 户 可 以 访问 同一 个 物理 资源 或 网 络 资源 ,防止 合法 用 户 和 非法 用 户 
对 敏感 数据 的 未 授权 访问 是 必要 的 。Windows 需要 建立 相应 的 各 类 安全 机 制 ,这 些 机 制 
主要 包括 标识 域 鉴 别 . 访 问 控制 、. 权 限 管 理 .安全 审计 等 。 


1.Windows 安全 组 件 

以 下 是 主要 的 Windows 安全 组 件 。 

(1) 安全 引用 监视 器 (Security Reference Monitor,SRM) 。 它 是 Ntoskrnl.exe 程序 
pa opie 负责 定义 访问 令 牌 的 数据 结构 来 表示 安全 上 下 文 ,执行 对 象 安全 访问 检 

查 ,管理 用 户 权 限 ,以 及 生成 安全 审计 消息 。 

(2) 本 地 安全 授权 子 系 统 (Local Security Authority Subsystem, LSASS, 位 于 
% SystemRoot%W%ASystem32\Lsass.exe 中 ) 。 负 责 本 地 系统 安全 策略 ,例如 ,人 允许 哪些 用 
户 登 录 到 主机 、 密 但 策略 、 授 子 用 户 和 组 的 权限 .系统 安全 审计 设置 .用 户 号 份 验证 以 及 回 
事件 日 志 发 送 安全 审计 信息 。 

(3) LSASS 策略 数据 库 。 用 于 存储 本 地 系统 安全 策略 设置 的 数据 库 , 它 存储 在 受 
ACL 保护 的 注册 表 中 (位 于 注册 表 的 HKLM\SECURITY 键 中 )。 该 数据 库 包含 谁 有 权 
访问 系统 、 采 用 何 种 方式 (交互 式 登 录 、 网 络 登 录 服务 登 录 ) ,分 配 哪 些 特权 以 及 执行 哪 种 
安全 审计 等 信息 ,还 存储 包括 用 于 缓存 域 登录 和 Windows 服务 用 户 账 户 登 录 的 登录 
信息 。 

(4) 安全 账户 管理 需 (Security Account Manager,SAM) 。 提 供 管 理 在 本 地 主机 中 和 是 
义 的 用 户 和 组 数据 库 的 服务 。 

(5) SAM 数据 库 。 用 于 存储 已 定义 的 本 地 用 户 和 组 以 及 口令 和 其 他 属性 的 数据 库 
( 目 Windows 2000 SP4 开始 )。 该 数据 库存 储 在 域 控 制 北 上 ,并 不 存储 域 中 定义 的 用 户 ， 
仅 保存 系统 的 管理 员 恢 复 账 户 的 定义 及 口令 。 用 户 密 码 以 散 列 格式 存储 在 注册 表 配 置 单 
元 中 ,位 于 HKLM\SAM 键 中 。 

(6) 活动 目录 。 是 一 个 包含 数据 库 的 目录 服务 ,存储 域 中 对 象 的 信息 。 活 动 目录 存 
储 域 中 对 象 的 信息 ,包括 用 户 .组 .计算 机 以 及 域 用 户 组 的 口令 信息 和 权限 信息 。 

(7) 认证 包 。 用 于 实现 Windows 身份 验证 策略 ,主要 包括 在 LSASS 进程 和 客户 进 
程 的 上 下 文中 运行 的 DLL, 通过 检查 给 定 的 用 户 名 和 口令 是 否 匹 配 来 验证 用 户 , 如 采 匹 
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配 , 则 返回 详细 说 明 用 户 安全 映 份 的 LSASS 信息 用 于 生成 令 牌 。 

(8) 芭 互 式 登 录 省 理 帮 (Winlogon)。 人 负 贡 啊 应 SAS(Secure Attention Sequence, 安 
全 注意 序列 ) 和 管理 交互 式 登 录 会 话 , 是 一 个 用 户 模 式 下 的 进程 (% SystemRoot\ 
System32\Winlogon.exe)。SAS 也 称 为 SAK(Secure Attention Key ,安全 注意 键 ) ,是 键 
盘 上 的 一 组 特殊 键 或 键 的 组 合 。 例 如 ,登录 Windows Server 服务 需 时 ,要 求 按 下 Ctrl 十 
Alt 十 Del 键 , 以 激活 登录 界面 。 当 系统 识别 到 用 户 按 下 了 SAK 后 ,将 终止 该 终 病 运行 的 
任何 程序 和 用 户 进程 ,局 动 可 信 的 会 话 进程 ,以 保证 在 安全 情况 下 使 用 用 户 名 和 口令 。 

(9) 登录 用 户 界 面 (LogonUI) 。 负 责 四 用 户 提 供用 户 界 面 , 用 户 可 以 通过 此 界面 在 
系统 中 进行 身份 验证 。 它 是 一 个 用 户 模 式 下 的 进程 (加 SystemRoot% System32 
LogonUl.exe) 。 

(10) 凭证 提供 者 。 运 行 在 LogonUI 进程 内 的 COM 对象 ( 当 SAS 执行 时 ,由 
Winlogon 根据 需要 局 动 ) ,用 于 获取 用 户 的 名 称 和 口令 .智能 卡 的 PIN 码 以 及 生物 识别 
数据 (例如 指纹 ) 。 

(11) 网 络 登录 服务 (Netlogon)。 用 于 设置 域 控制 器 的 安全 通道 ,是 一 个 Windows 
服务 (位 于 \Windows\System32\Netlogon.dll 中 )。 例 如 ,该 服务 可 用 于 交互 式 登 录 ( 通 
过 域 进行 验证 ), 也 可 用 于 活动 目录 中 的 登录 。 

(12) 内 核 安全 设备 驱动 程序 (KSecDD)。 它 是 一 个 实现 高 级 本 地 过 程 调用 
(Advanced Local Procedure Call, ALPC) 接 口 的 内 核 模 式 函 数 库 (位 于 %SystemRoot 
System32\Drivers\Ksecdd.sys 中 ), 其 他 内 核 模式 安全 组 件 ( 例 如 加 密 文 件 系 统 ) 可 以 利 
用 该 接口 在 用 户 模 式 下 与 LSASS 通信 。 

(13) AppLocker。 它 是 一 种 应 用 程序 控制 策略 ,定理 员 利 用 该 组 件 指定 用 户 和 组 可 
以 使 用 哪些 可 执行 文件 .DLL 和 脚本 。 


2. 保护 对 象 

理论 上 ,Windows 对 系统 中 的 对 象 ( 例 如 文件 、 设备、 作业、 进程 、 线 程 . 事 件 、 网 络 共 
至 ,服务 、 注 册 表 项 打印 机 、AD 对 象 等 ) 痢 需要 进行 保护 ,但 实际 情况 是 ,未 骏 露 给 用 户 
模式 的 对 象 ( 例 如 驱动 程序 对 象 ) 通 常 不 受 保护 。 

对 操作 系统 而 言 ,内 核 模式 的 代码 是 可 信 的 ,通常 使 用 不 执行 访问 检查 的 接口 访问 对 
象 管理 入。 导出 到 用 户 模 式 的 系统 唤 源 在 内 核 醒 式 下 将 实现 为 对 象 , 对 其 需要 进行 安全 

为 了 控制 谁 可 以 操作 对 象 ,系统 必须 首先 确定 每 个 用 户 的 身份 。 因 此 , Windows 需 
要 进行 用 户 续 份 验证 ,在 用 户 访 问 任何 系统 资源 之 前 确定 用 户 号 份 的 合法 性 。 当 进程 请 
求 对 象 的 句柄 时 ,对象 管理 入 和 安全 系统 使 用 调用 者 的 安全 标识 和 对 象 的 安全 标识 符 来 
确定 是 否 应 该 为 调用 者 分 配 一 个 句柄 ,该 句柄 授 子 进程 对 其 所 需 对 象 的 访问 权限 。 

1) 访问 检查 

Windows 的 SRM 安全 模型 要 求 线程 在 打开 对 象 时 预先 指定 要 在 对 象 上 执行 的 操作 
类 型 。 对 象 管理 顺 调 用 安全 引用 监视 项 (Security Reference Monitor ,SRM) ,对 线程 要 执 
行 的 操作 进行 访问 检查 ,如 果 授 予 线程 访问 权限 , 则 为 线程 的 进程 分 配 一 个 句柄 ,线程 (或 
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进程 中 的 其 他 线程 ) 可 以 使 用 该 句柄 执行 进一步 操作 。 

SRM 安全 模型 的 本 质 是 一 个 需要 3 个 输入 项 的 公式 : 输入 为 线程 的 安全 标识 符 、 线 
程 需要 的 访问 权限 以 及 对 象 的 安全 设置 ,输出 为 “是 ”或 “ 否 ” 的 结果 值 , 表 示 SAM 安全 模 
型 是 否 授予 线程 相应 的 访问 权限 。 

2) 安全 标识 符 

Windows 使 用 安全 标识 符 (Security Identifier, SID) 来 标识 系统 中 执行 各 种 动作 的 
实体 ,包括 用 户 、 本 地 用 户 组 、 域 中 的 用 户 组 、 本 地 计算 机 、 域 . 域 成 员 和 服务 。SID 是 一 个 
可 变 长 度 的 数值 ,由 3 部 分 组 成 : SID 版 本 号 、48 位 权限 值 以 及 可 变数 量 的 32 位 子 授权 
值 或 相对 标识 符 (Relative Identifier,RID) 值 。 

权限 值 标 识 了 发 放 此 SID 的 代理 机 构 , 通 第 是 一 个 Windows 本 地 系统 或 域 。 对 于 本 
地 用 户 , 由 本 地 安全 授权 机 构 (Local Security Administrator,LSA) 生 成 在 该 系统 内 的 唯 
一 SID; 对 于 域 用 户 , 则 由 域 安全 授权 机 构 产 生 SID。 表 2-10 给 出 了 了 稼 见 安全 授权 机 构 
编号 。 


表 2-10 常见 安全 授权 机 构 编 号 


引入 方式 


1 世界 机 构 


9 
3 

4 

9 

9 Windows Server 2003 
| Windows 8 

12 Windows 10 

16 Windows Vista 


子 授 权 值 标识 了 相对 于 发 布 机 构 的 受托 者 。RID 只 是 Windows 根据 公共 基础 SID 
创建 唯一 SID 的 一 种 方法 。 在 Windows 中 ,每 个 SID 的 值 都 是 随机 生成 的 ,通常 是 在 安 
全 主体 创建 时 生成 的 ,用 计算 机 名 、 当 前 时 间 、 当 前 用 户 态 线程 的 CPU 耗费 时 间 总 和 3 个 
参数 进行 计算 ,以 确保 唯一 性 ,所 以 Windows 几乎 可 以 避免 生成 两 个 同样 的 SID。 

SID 以 文本 方式 显示 时 ,以 S 为 前 级 ,各 部 分 间 用 “-” 来 分 隔 , 例 如 ， 

SS—-1— 5—21— 3623811015-—- 3361044348 一 30300820 一 1031 
在 这 个 SID 中 ,由 左 至 右 , 各 个 部 分 代表 信息 为 : SID 的 版 本 号 是 1, 权 限 值 是 5( 代 表 
Windows 安全 授权 机 构 ), 其 余部 分 是 4 个 子 授权 值 (21、3623811015、3361044348、 
30300820) ,最 后 是 子 授权 值 (1031 ,代表 域 或 本 地 计算 机 标识 符 ) 。 

如 果 该 计算 机 是 域 成 员 ,每 次 计算 机 进入 域 时 都 会 重新 计算 SID, 有 可 能 出 现 与 该 域 
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中 的 其 他 计算 机 相同 的 SID 值 。 

如 果 不 使 用 本 地 用 户 账 户 ,重复 的 SID 通 各 没 有 明显 的 问题 。 如 有 果 使 用 本 地 用 户 账 
户 , 则 存在 具有 相同 SID 的 计算 机 用 户 越 权 访 问 的 潜在 安全 问题 ,但 问题 仅 限于 受 本 地 
用 户 保 护 的 文件 和 资源 ,而 不 影响 域 用 户 。 此 类 问题 在 使 用 同一 个 克隆 镜像 安装 操作 系 
统 时 容易 出 现 , 可 以 使 用 Sysinternals 中 的 NTSID 或 ResourceKit 中 的 SYSPREP 重新 
生成 SID ,以 避免 这 种 情况 的 发 生 。 

Windows 通过 SID 和 预定 义 RID 的 组 合 指 回 预定 义 的 账户 和 组 。 例 如 ， 
administrator 账户 的 RID 是 500 ,guest 账户 的 RID 是 501, 默 认 情 况 下 新 创建 的 任何 组 
或 用 户 的 RID 值 起 始 为 1000, 后 续 增 加 的 用 户 或 组 的 RID 值 依 次 递增 。 

以 上 面 的 SID 为 例 ,如 果 该 SID 为 计算 机 的 本 地 管理 员 账 户 , 会 以 该 计算 机 的 SID 
为 基础 ,附加 500 作为 RID: 

S 一 一 一 2 一 36238110152 一 33610443 本 和 一 了 OU 各 20U 一 吕 避 品 

Windows 也 定义 了 一 些 内 置 的 本 地 和 域 SID 来 标识 常用 的 组 。 例 如 ,标识 任何 账户 
和 所 有 上 账户 (匿名 用 户 除外 ) 的 Everyone 账户 ,其 SID 是 S1-1-0。 表 2-11 列 出 了 第 见 的 
SID。 与 用 户 的 SID 不同, 这 些 SID 是 预定 义 的 ,在 每 个 Windows 系统 和 域 中 都 有 相同 
的 值 。 例 如 ,在 系统 中 创建 一 个 文件 ,并 设置 为 能 锌 Everyone 组 的 成 员 访 问 , 如 末 将 该 文 
件 所 在 的 便 盘 安 沪 到 其 他 系统 或 域 中 , 则 这 些 系统 或 域 中 的 Everyone 组 的 成 员 也 可 以 访 
问 该 文件 ,前提 是 这 些 系 统 或 域 中 的 用 户 必 须 通过 映 份 验证 并 成 为 Everyone 组 的 成 员 。 


表 2-11 常见 的 SID 


S-1-0-0 当 SID 未 知 时 使 用 
S11.0 一 个 包含 了 除 匿名 用 户 之 外 的 所 有 用 户 的 组 
S-1-2-0 登录 到 系统 本 地 (物理 ) 终 端 上 的 用 户 


将 被 创建 新 对 象 的 用 户 的 SID 替代 的 SID。 该 SID 用 在 可 继承 的 


Ss-1-3-0 Creator OQwner ID) ACE 中 


将 被 创建 新 对 象 的 用 户 所 属 的 主 组 SID 替代 的 SID。 该 SID 也 用 在 
可 继承 的 ACE 中 


~-]-9-0 Resource Manager | 由 第 三 方 应 用 程序 使 用 ,用 来 在 其 内 部 数据 上 实现 日 定义 的 安全 性 


~-]-3-] Creator (Group 1D 


3) 虚拟 服务 账户 

Windows 服务 必须 在 Windows 定义 的 账户 下 运行 其 内 置 服务 (例如 本 地 服务 或 网 
络 服务 ) ,或 者 在 常规 域 账户 下 运行 。 而 本 地 服务 账户 已 经 被 许多 现 有 服务 共享 ,这 些 账 
户 仪 能 提供 有 限 的 特权 和 访问 控制 粒度 ,并 且 这 些 账户 无 法 跨 域 管理 。 而 对 于 在 域 账户 
下 运行 的 情况 ,由 于 域 账户 为 确保 安全 性 需要 定期 更 改 密码 ,在 密码 更 改 周 期 中 ,服务 的 
可 用 性 可 能 会 受到 影响 。 为 了 实现 最 佳 安全 隔离 目标 ,每 个 服务 应 该 在 自己 的 账户 下 运 
行 , 但 对 于 普通 账户 而 言 , 这 会 增加 管理 的 工作 量 。 如 果 采 用 传统 的 账户 机 制 , 需 要 创建 
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大 量 的 用 户 以 便 运 行 相 关 的 服务 ,这 会 导致 Windows 服务 质量 下 降 。 

为 避免 这 种 情况 出 现 , Windows 提供 了 一 种 称 为 虚拟 服务 账户 (和 商 称 虚拟 账户 ) 的 特 
殊 类 型 的 账户 。 使 用 虚拟 服务 账户 后 ,每 个 服务 都 可 以 使 用 目 己 的 安全 ID 并 在 目 己 的 账 
户 下 运行 。 账 户 的 名 称 为 NT SERVICE\ 加 上 服务 的 内 部 名 称 , 虚 拟 服 务 账户 可 以 出 现 
在 访问 控制 列表 中 ,并 且 可 以 像 任 何其 他 账户 名 称 一 样 通过 组 策略 与 特权 关联 。 但 是 ,不 
能 通过 稍 用 的 账户 管理 工具 创建 或 删除 它们 ,也 不 能 将 它们 分 配给 组 。 

Windows 会 日 动 设置 并 定期 更 改 虚拟 服务 账户 的 口令 ,该 口令 与 本 地 系统 和 其 他 服 
务 账 户 的 口令 类 似 , 系 统管 理 员 不 知道 口令 的 内 容 。 


3. 访问 控制 

安全 标识 符 是 与 对 象 相 关联 的 安全 信息 的 数据 结构 , 它 指 定 谁 可 以 对 对 象 执行 什么 
操作 。 安 全 标识 符 由 以 下 属性 组 成 : 

。 版 本 号 : 创建 安全 标识 待 的 SRM 安全 模型 的 版 本 。 

。 标志 : 一 些 可 选 的 标识 符 ,用 于 定义 标识 符 的 行为 或 特征 。 

。 所 有 者 SID。 

。 组 SID: 对 象 的 主 组 的 SID( 仅 用 于 POSIX)。 
自主 访问 控制 列表 (Discretionary Access Control List,DACL) : 指定 谁 具 有 对 该 
对 和 象 的 访问 权限 。 
系统 访问 控制 列表 (System Access Control List,;SACL): 指定 应 在 安全 审核 日 志 
中 记录 用 户 的 哪些 操作 以 及 对 象 的 显 式 完整 性 级 别 。 

访问 控制 列表 (Access Control List,ACL) 由 一 个 头 以 及 零 个 或 多 个 访问 控制 条 目 
(Access Control Entry,ACE) 结 构 组 成 ,共有 两 种 类 型 : DACL 和 SACL。 

DACL 包含 9 种 ACE: 允许 访问 .拒绝 访问 .允许 的 对 象 .拒绝 的 对 象 .允许 的 回调 、 
拒绝 的 回调 、 人 允许 的 对 象 回调 .拒绝 的 对 象 回调 以 及 有 条 件 声明 。 如 果 在 一 个 安全 标识 符 
中 没有 DACL, 则 任何 人 都 具有 对 该 对 象 的 完全 访问 权限 ;如 果 DACL 为 空 , 则 任何 用 户 
都 不 拥有 对 该 对 象 的 访问 权限 。 

SACL 包含 两 种 ACE: 系统 审核 ACE 和 系统 审核 对 象 ACE, 用 于 指定 用 户 或 组 在 
对 象 上 执行 的 哪些 操作 需要 审核 。 审 核 信 息 存 储 在 系统 审核 日 志 中 ,审核 的 内 容 包 括 成 
功 和 失败 的 尝试 。 如 果 一 个 SACL 为 空 , 则 不 会 对 该 对 象 进行 审核 。 

图 2-5 是 一 个 文件 对 象 的 DACL 示例 。 第 一 个 ACE 授权 USER3 可 以 读 取 文件 的 
内 容 , 第 二 个 ACE 授权 TEAM6 组 的 成 员 可 以 读 写 该 文件 ,第 三 个 ACE 授权 所 有 其 他 
的 用 户 (Everyone) 具 有 执行 该 文件 的 权限 。 

4. 权限 管理 

进程 执行 时 的 许多 操作 因为 不 涉及 与 特定 对 象 的 交互 ,因而 无 法 通过 对 象 访问 保护 
进行 授权 。 例 如 ,进行 文件 备份 时 绕 过 了 相关 文件 的 安全 检查 ,这 种 绕 过 安全 检查 的 能 力 
是 一 个 账户 的 属性 ,而 不 是 一 个 特定 对 象 的 属性 ， 

Windows 通过 特权 和 账户 权限 的 方式 使 系统 管理 员 能 够 控制 哪些 账户 可 以 执行 与 
安全 相关 的 操作 。 特 权 是 账户 执行 特定 系统 相关 操作 的 权利 ,例如 关闭 计算 机 或 更 改 系 

51 


图 2-5 一 个 文件 对 象 的 DACL 示例 


统 时 间 ; 账 户 权 限 则 是 指 授予 或 拒绝 某 账 户 按 特 定 类 型 登录 的 能 力 ,例如 本 地 登录 或 交互 
式 登 录 。 

系统 管理 员 可 以 通过 活动 目录 用 户 和 组 MMSC 管理 单元 (用 于 域 账户 ) 或 者 本 地 安全 
策略 编辑 器 (在 SystemRoot%\System32\secpol.msc 中 ) 等 工具 为 组 和 账户 分 配 权 限 。 

1) 账户 权限 

当 系 统 啊 应 用 户 登 录 请 求 时 ,本 地 安全 授权 机 构 (LSA) 从 LSA 策略 数据 库 中 检索 分 
配给 用 户 的 账户 权限 。LSA 根据 分 配给 用 户 的 账户 权限 检查 其 登录 类 型 ,如 果 账 户 没 有 
允许 登录 类 型 的 权限 ( 即 未 授权 ) ,或 者 具有 拒绝 登录 类 型 的 权限 ( 即 明 确 拒 绝 授 权 ), 则 拒 
绝 用 户 登 录 系 统 。 表 2-12 列 出 了 Windows 定义 的 账户 权限 。 


表 2-12 账户 权限 


账户 权限 说 明 
拒绝 本 地 登录 _. 0 
允许 本 地 登录 用 于 通过 本 地 计算 机 交互 式 登录 
拒绝 网 络 登 录 四 
允许 网 络 登 录 用 于 通过 远程 计算 机 登录 


拒绝 终端 服务 方式 登录 
允许 终端 服务 方式 登录 
拒绝 服务 方式 登录 
允许 服务 方式 登录 
拒绝 批 作业 方式 登录 
允许 批 作 业 方 式 登录 


用 于 通过 终端 服务 器 客户 端 登录 


由 服务 控制 管理 右 在 特定 用 户 账 户 中 启动 服务 时 使 用 


用 于 批 作业 方式 登录 


2) 特权 

随 着 系统 中 组 件 的 增加 和 时 间 的 推 欧 , 操 作 系 统 定义 的 特权 数量 会 不 断 增 加 。 与 
LSA 统一 强制 执行 的 用 户 权 限 不 同 , 不 同 的 特权 由 不 同 的 组 件 定 义 ,并 由 这 些 组 件 强 制 
执行 。 

与 账户 权限 不 同 ,特权 是 可 以 局 用 和 禁用 的 。 特 权 必 须 位 于 指定 的 令 牌 中 ,并 且 必 须 
局 用 该 令 牌 ,特权 检查 才能 执行 。 其 目的 是 : 只 在 需要 使 用 特权 时 才 启 用 特权 ,以 确保 进 
程 不 会 在 无 意 中 执行 特权 安全 操作 。 

3) 超级 特权 

有 些 特权 的 功能 非常 强大 , 当 用 户 被 授予 这 样 的 特权 时 ,就 成 为 对 计算 机 有 完全 控制 
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权 的 超级 用 户 。 用 户 能 通过 各 种 方式 使 用 这 些 特权 ,对 于 本 该 限制 使 用 的 资源 进行 未 授 
权 的 访问 ,以 及 执行 未 授权 的 操作 。 需 要 注意 的 是 ,这 些 特 权 的 使 用 范围 仅 限 于 本 地 
主机 。 

以 下 列 出 了 相关 的 特权 。 需 要 注意 的 是 ,在 启用 了 UAC 的 系统 中 ,这 些 特 权 仅 授予 
以 高 (high) 完 整 性 级 别 或 更 高 级 别 运 行 的 应 用 程序 。 

(1) 调试 程序 。 具 有 此 特权 的 用 户 可 以 打开 系统 中 的 任意 进程 ( 受 保护 进程 除外 )， 
而 无 须 理 会 该 进程 上 的 安全 标识 人 御 。 由 此 种 来 的 安全 问题 是 恶意 用 户 可 以 从 系统 内 存 中 
捕获 敏感 设备 信息 ,或 访问 和 修改 内 核 或 应 用 程序 结构 。 某 些 攻击 工具 利用 此 特权 来 提 
取 哈 希 密 个 和 其 他 专用 安全 信息 或 插入 恶意 软件 。 

(2) 取得 文件 或 其 他 对 和 象 的 所有 权 。 用 于 确定 哪些 用 户 可 以 在 设备 中 取得 任何 安全 
对 象 的 所 有 权 , 包 括 活 动 目录 对 象 .NTFS 文件 和 文件 夹 、 打 印 机 ,注册 表 项 、 服 务 、 进 程 和 
线程 。 此 特权 人 允许 持 有 者 通过 将 自己 的 SID 写 人 对 象 安 全 标识 符 的 owner 字段 来 获取 
任何 安全 对 和 象 ( 包 括 受 保护 的 进程 和 线程 ) 的 有 所有权 。 因 为 所 有 者 通常 被 授予 读 取 和 修改 
安全 标识 符 的 DACL 的 特权 ,因此 具有 此 特权 的 进程 通过 修改 DACL 授予 自己 对 该 对 象 
的 完全 访问 特权 ,然后 对 该 对 象 进行 任何 更 改 。 此 类 更 改 可 能 导致 数据 泄露 .数据 损坏 或 
拒绝 服务 攻击 。 

(3) 还 原文 件 和 目录 。 具 有 此 特权 的 恶意 用 户 有 可 能 将 敏感 数据 还 原 到 计算 机 并 禾 
兰 最 新 的 数据 ,从 而 可 能 导致 重要 数据 丢失 .数据 损坏 或 拒绝 服务 攻击 。 攻 击 者 可 能 会 
兰 合 法 管理 员 使 用 的 可 执行 文件 或 使 用 包 合 恶意 软件 的 版 本 黎 兰 系统 服务 ,以 便 授 予 其 
日 喘 更 高 的 权限 .泄露 数据 或 安装 提供 对 设备 有 持续 访问 权限 的 程序 。 

(4) 加 载 和 僵 载 设备 驱动 程序 。 通 第 设备 驱动 程序 被 视 为 操作 系统 中 可 信任 的 部 
分 ,作为 高 特权 代码 运行 ,可 以 使 用 系统 账户 凭据 在 系统 中 执行 ,因此 驱动 程序 可 以 启动 
为 用 户 分 配 其 他 权限 的 特权 程序 。 有 具有 此 特权 的 用 户 可 能 无 意 中 安 竣 了 伪 淡 成 设备 驱动 
程序 的 恶意 软件 ,而 恶意 用 户 可 以 使 用 此 特权 将 设备 驱动 程序 加 载 到 系统 中 。 

(5) 创建 令 牌 对 象 。Windows 通过 检查 用 户 的 访问 令 牌 来 确定 用 户 的 权限 级 别 。 当 
用 户 登 录 本 地 设备 或 通过 网 络 连接 到 远程 设备 时 ,将 生成 访问 令 牌 。 当 撤销 用 户 的 权限 
时 ,将 立即 记录 该 更 改 , 但 该 更 改 不 会 反映 在 用 户 的 访问 令 脾 中 ,下 到 用 户 下 一 次 登录 或 
连接 时 才 会 更 新 。 拥 有 创建 或 修改 令 牌 特权 的 恶意 用 户 可 以 更 改 计算 机 上 的 任何 账户 的 
访问 级 别 ( 如 果 他 们 当前 已 登录 ) ,提升 他 们 的 权限 或 创造 拒绝 服务 攻击 的 条 件 。 

(6) 作为 操作 系统 的 一 部 分 来 执行 。 有 具有 此 特权 的 恶意 用 户 可 以 建立 可 信和 的 
LSASS 连接 ,然后 创建 新 的 登录 会 话 ( 需 要 有 效 的 用 户 名 和 密 人 码 ), 并 接收 一 组 可 选 的 
SID 列表 ,添加 到 为 新 的 登录 会 话 创 建 的 令 牌 中 。 恶 意 用 户 使 用 日 己 的 用 户 名 和 和 密 人 码 来 
创建 新 的 登录 会 话 , 该 会 话 中 就 包括 了 生成 的 令 牌 中 更 多 特权 组 或 用 户 的 SID, 以 达到 恶 
意 使 用 的 目的 。 

5. 用 万 账 忆 控制 

设计 用 户 账 户 控 制 (UAC) 的 目的 在 于 使 用 户 在 标准 用 户 权 限 下 运行 、 使 用 系统 ,而 
非 在 管理 权限 下 ,这样 可 以 控制 用 户 无 意 或 有 意 地 修改 系统 设置 ,用 户 也 无 法 对 共享 计算 
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机 上 其 他 用 户 的 敏感 信息 造成 损害 。 亚 意 软 件 在 这 种 情况 下 通 第 也 无 法 有 效 改 变 系 统 安 
全 设置 或 至 用 防 病毒 软件 。 通 过 UAC 使 得 用 户 平 常 的 工作 在 标准 用 户 权 限 下 运行 ,可 
以 减轻 恶意 软件 的 威胁 ,并 保护 共 孚 计算 机 上 的 敏感 数据 。 

UAC 的 运作 方式 是 : 使 用 标准 用 户 权 限 运行 大 多 数 的 应 用 程序 ,即便 用 户 是 具有 管 
理 权 限 的 账户 ;标准 用 户 在 需要 时 才 访 问 管理 权限 ,例如 ,运行 日 有 应 用 程序 或 者 需要 更 
改革 些 系统 设置 时 。 即 使 用 户 只 运行 与 标准 用 户 权 限 兼容 的 程序 ,一 些 操作 仍然 需要 管 
理 权 限 。 例 如 , 绝 大 多 数 软 件 安 疲 都 霹 要 在 系统 全 局 位 置 中 创建 目录 和 注册 表 键 ,或 者 安 
淡 服 务 程 序 和 设备 驱动 程序 ,这 些 行 为 都 需要 管理 权限 。 虽 然 这 些 操 作 大 多 数 可 以 通过 
切换 到 专用 的 管理 员 上 账户 实现 ,但 是 这 样 操作 不 便 , 可 能 导致 大 多 数 用 户 依然 使 用 管理 员 
账户 执行 相关 的 日 稼 任务 ,而 这 些 任务 中 大 部 分 并 不 需要 管理 权限 。 

UAC 在 用 户 登 录 到 管理 账户 时 创建 经 过 过 涯 的 管理 令 牌 和 普通 管理 令 牌 。 在 用 户 
会 话 中 创建 的 所 有 进程 通 帝 都 会 使 用 经 过 过 滤 的 管理 令 牌 ,以 便 能 够 使 用 标准 用 户 权限 
运行 应 用 程序 ,而 管理 用 户 可 以 执行 UAC 提升 来 运行 程序 或 执行 其 他 需要 管理 权限 的 

需要 注意 的 是 ,UAC 提升 是 一 种 方便 用 户 的 便利 措施 ,并 不 是 安全 边界 (安全 边界 要 
求 安全 策略 规定 可 以 通过 边界 的 内 容 , 例 如 ,用 户 账 户 就 是 Windows 中 安全 边界 的 体现 ， 
A 用 户 在 未 经 B 用 户 许 可 的 情况 下 无 法 访问 属于 B 用 户 的 数据 ), 因 此 无 法 保证 在 具有 
标准 用 户 权限 的 系统 上 运行 的 恶意 软件 不 会 危及 UAC 提升 的 进程 以 获得 管理 权限 。 例 
如 ,UAC 提升 对 话 框 仅 提 示 将 被 提升 权限 的 可 执行 文件 ,但 并 不 会 提示 它 在 执行 时 会 做 
全 交 。 

1) 以 管理 员 权 限 运 行 

Windows 使 用 增强 的 run as 功能 ,以 便 标 准 用 户 可 以 方便 地 司 动 具有 管理 权限 的 程 
序 。 为 了 使 具备 系统 管理 员 权 限 的 用 户 也 能 够 以 标准 用 户 权 限 运 行 ,而 不 必 每 次 访问 管 
理 权 限时 都 要 输入 用 户 名 和 密码 ,Windows 采用 了 称 为 管理 员 批 准 模式 (Admin 
Approval Mode,AAM) 的 机 制 。 此 功能 为 登录 用 户 创 建 了 两 个 号 份 : 一 个 具有 标准 用 户 
权限 , 另 一 个 具有 管理 权限 。 因 此 ,在 Windows 系统 中 的 每 个 用 户 通 常 都 是 标准 用 户 ,或 
大 部 分 作为 AAM 中 的 标准 用 户 来 操作 。 

授予 进程 管理 权限 称 为 提升 。 当 标准 用 户 账 户 ( 或 属于 管理 员 组 但 不 是 实际 管理 员 
组 的 用 户 ) 执 行 提升 时 ,需要 输入 管理 员 组 成 员 凭 据 。 由 AAM 用 户 执行 的 提升 称 为 批准 
提升 ,因为 用 户 只 需 批 准 其 管理 权限 的 分 配 使 用 。 

家 用 计算 机 这 样 的 独立 系统 和 加 入 域 的 系统 对 远程 用 户 AAM 访问 的 处 理 方式 不 
同 ,原因 在 于 加 入 域 的 计算 机 可 以 使 用 域 的 管理 组 管理 其 软 源 权限 。 当 远程 用 户 访 问 独 
站 计算 机 的 共 至 文件 时 ,Windows 会 要 求 近 程 用 户 提 供 标 准 用 户 赁 证 用 于 喘 份 验证 ; 而 
在 加 入 域 的 系统 中 ,Windows 会 通过 请 求 用 户 的 域 管 理 标识 来 授 子 用户 所 在 域 组 成 员 
母 份 。 

系统 和 应 用 程序 可 以 通过 多 种 方式 确定 对 管理 权限 的 需求 。 右 击 可 执行 的 组 件 图 标 
(快捷 方 却 或 组 件 程序 ) ,在 弹出 的 快捷 荣 单 中 会 包含 “以 管理 员 号 份 运 行 ”(Run as 
Administrator) 命 令 ,其 前 端 同时 显示 一 个 蓝 色 和 金色 盾牌 图 标 , 用 于 标识 该 操作 将 导致 
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权限 提升 ,如 图 2-6 所 示 。 

2) 权限 日 动 提升 

在 默认 配置 中 ,大 多 数 Windows 的 可 执 
行程 序 和 控制 面板 中 的 程序 并 不 会 显示 管 
理 用 户 的 提升 提示 。Windows 使 用 一 种 称 
为 权限 日 动 提升 的 机 制 ,使 得 这 些 需 要 管理 权限 的 程序 目 动 在 用 户 的 完整 管理 令 牌 下 运 
行 , 无 须 显 示 权 限 提 升 的 提示 。 

实现 权限 日 动 提升 的 组 件 必 须 满 足 几 个 要 求 : 可 执行 文件 必须 为 Windows 可 执行 
文件 ,必须 由 Windows 发 布 者 (而 不 仅仅 是 Microsoft) 签 名 ,并 且 必 须 位 于 被 认为 是 安全 
的 几 个 目录 之 中 : % SystemRoot%AN\System32 及 其 大 多 数 子 目录 、W% Systemrooto% AN 
Ehome 和 一 小 部 分 %ProgramFiles% 下 的 上 日 录 。Microsoft 管理 控制 台 (% SystemRoot%\ 
System32\mmcec.exe) 被 视 为 一 种 特殊 情况 ,因为 它 是 否 应 该 日 动 提升 取决 于 要 加 载 的 系 
统管 理 单 元 。mmc.exe 被 调用 时 会 市 有 作为 参数 的 msc( 例 如 本 地 组 胰 略 编辑 融 gpedit. 
msc) 。 当 mmc.exe 运行 在 一 个 党 保护 的 管理 员 账 户 下 时 ,会 问 Windows 申请 管理 员 权 
限 。Windows 先 验证 mmc.exe 是 一 个 Windows 可 执行 文件 ,再 检查 调用 的 msc 是 否 通 
过 了 Windows 可 执行 文件 的 测试 ,而 且 是 否 在 日 动 提升 msc 的 内 部 列表 中 (其 中 包含 了 
Windows 中 几乎 所 有 的 msc 文件 ) ,验证 通过 后 才 可 运行 程序 。 

3) 控制 UAC 的 行为 

UAC 可 以 通过 交互 界面 修改 。 在 “控制 面板 ”中 选择 “操作 中 心 ”»>“ 更 改 用 户 账 户 控 
制 设置 ", UAC 设置 界面 如 图 2-7 所 示 。 


车 用 户 帐 户 控制 设置 


图 2-6 权限 提升 


选择 何 时 通知 您 有 关 寺 算 机 更 改 的 消息 


有 


妨 终 需 知 
著 认 - 促 在 程序 兰 试 对 我 的 计算 机 进行 更 改 时 前 知 我 
se 。 当 我 对 Windows 设置 进行 更 改 时 不 要 通知 我 


图 2-7 UAC 设置 界面 
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UAC 设置 界面 中 的 4 个 设置 项 的 相关 说 明 如 表 2-13 所 示 。 


议 置 项 


仅 在 程序 尝试 对 我 
的 计算 机 进行 更 改 
时 通知 我 


仅 当 程序 尝试 更 改 
降低 果 面 腕 度 ) 


从 不 通知 


6. 安全 审核 


表 2-13 UAC 的 4 个 设置 项 


在 程序 对 计算 机 或 Windows 设置 进 
行 更 改 (需要 管理 员 权 限 ) 之 前 显示 
通知 。 

收 到 通知 时 ,桌面 会 变 瞳 ,必须 允许 
或 拒绝 UAC 对 话 框 中 的 请 求 后 , 才 
能 执行 其 他 操作 。 变 暗 的 桌面 称 为 
安全 桌面 ,其 他 程序 在 桌面 变 暗 时 无 
法 运行 


在 程序 对 计算 机 进行 更 改 ( 需 要 管理 
员 权 限 ) 之 前 显示 通知 。 

符 试 对 Windows 设置 进行 更 改 时 
(需要 管理 员 权 限 ) 不 会 显示 通知 


在 程序 对 计算 机 进行 更 改 ( 需 要 管理 


员 权 限 ) 之 前 显示 通知 。 

尝试 对 Windows 设置 进行 更 改 时 
Windows 外 部 程序 尝试 对 Windows 
设置 进行 更 改 时 会 显示 通知 


。 对 计算 机 进行 任何 更 改 之 前 都 不 会 


收 到 通知 。 如 果 以 管理 员 身 份 登录 ， 
程序 可 以 在 用 户 不 知情 的 情况 下 对 
计算 机 进行 修改 。 

如 果 以 标准 用 户 喘 份 登录 ,任何 需要 
管理 员 权限 的 更 改 都 会 被 拒绝 。 
选择 该 设置 ,会 需要 重启 计算 机 完成 
UAC 关闭 的 过 程 。UAC 关闭 后 ,以 
管理 员 身 份 登录 的 人 员 将 始终 具有 
管理 员 权限 


安全 影 啊 


。 最 安全 的 设置 。 

。 收 到 通知 后 ,应 仔细 阅读 每 个 对 
话 框 中 的 内 容 ,然后 允许 或 拒绝 
对 计算 机 的 更 改 


。 通常 人 允许 对 Windows 设置 进行 
更 改 而 不 通知 是 安全 的 。 

。 Windows 附 市 的 某 些 程 序 可 以 
传递 命令 或 数据 , 某 些 恶意 软件 
可 能 会 通过 使 用 这 些 程序 安装 
文件 或 更 改 计 算 机 上 的 设置 


。 与 “ 仅 在 程序 尝试 对 我 的 计算 机 
进行 更 改 时 通知 我 ?相同 ,但 不 
会 调用 安全 此 面 。 

。 由 于 UAC 对 话 框 不 显示 在 安全 
果 面 上 ,因此 其 他 程序 可 能 会 影 
响 UAC 对 话 框 的 可 视 外 观 , 可 
能 会 被 恶意 程序 利用 


运行 的 程序 有 权 访 问 计算 机 ,包括 


庶 取 和 更 改 受 保 护 的 系统 区 域 、 个 


人 数据 ,保存 的 文件 和 存储 在 计算 
机 上 的 其 他 内 容 , 以 及 能 够 与 计算 
机 接 入 的 任何 网 络 进行 通信 


本 地 系统 的 审核 策略 用 于 控制 审核 特定 类 型 的 安全 事件 的 决策 。 审 核 策 略 ( 也 称 为 
本 地 安全 策略 ) 是 LSASS 在 本 地 系统 上 维护 的 安全 策略 的 一 部 分 ,可 使 用 本 地 安全 策略 
编辑 器 进行 配置 ,如 图 2-8 所 示 。 
在 本 地 安全 策略 编辑 咒 中 ,提供 了 更 详细 的 审核 策略 配置 (高 级 审核 策略 配置 ), 如 
图 2-9 所 示 。 
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忆 本 地 去 全 第 略 
文件 @) 操作 以 查看 0) 帮助 00 
= lolled ?a 


同 审 核 第 梧 更 改 
一 审核 登录 事件 
己 审核 加 审核 对 象 访问 
a ES 下 审核 进程 跟踪 
部 去 全 选项 悦 审核 目录 服务 访问 
Windows 防火墙 re ] 
天 审核 系统 事件 
E 天 审核 帐户 登录 事件 
回国 软件 限制 六 咯 
田 国 应 用 程序 控制 请 罗 加 审核 帐户 管理 
田 遇 IF 安全 策略 ， 在 本 地 计算 机 
田 四 高 织 审核 第 略 配 置 


图 2-8 ”本 地 安全 策略 中 的 审核 策略 


昆 本 地 安全 策略 z : 
文件 @) ”操作 多。 查看 W) 帮助 0 
Aa le a 


安全 设置 类别 | 审核 3 
加 国 帐户 策略 罚 审核 已 生成 应 用 程序 未 配置 
日 加 本 地 委 晶 加 审核 证 书 服务 未 配置 

加 审核 第 四 可 审核 详细 的 文件 共享 未 配置 

田 区 用 户 权限 分 村 国 审 核 文件 共享 未 配置 
全 册 加 审核 文件 系统 未 醒 置 
高 级 支 全 Windows 防火 墙 贺 审 核 箭 选 平台 连接 未 配置 
— 加 审核 沛 和 平台 数据 包 丢 弃 未 配置 
司 软件 限制 让 国定 核 句柄 操 作 未 配置 
加 应 用 程序 控制 篆 格 人 门神 到 要 未 本 置 

| : ; 加 审核 其 他 对 象 访问 事件 未 本 轩 
轧 IT 安全 策略， 在 本 地 计算 机 加 主 二 未 
日 回 高 级 审核 第 略 配 置 到 审核 注册 志 未 配置 

日 调 系统 审核 第 略 - 本 地 组 第 略 对 象 | 国定 核 3M 未 本 轩 
田 国 帐户 登录 
田 国 帐户 管理 
加 央 详细 眼中 
天 吗 访问 
田 简 登录 /注销 
> 
田 二 第 略 更 改 
庆 特权 使 用 
田 转 系统 
二 全 局 对 象 访问 审核 
: +| 


图 2-9 高 级 审核 策略 配置 


1) 对 象 访问 的 审核 
审核 机 制 的 一 个 重要 来 源 是 对 安全 对 象 的 访问 日 志 , 尤 其 是 文件 的 访问 日 志 。 
Windows 审核 策略 默认 是 禁用 的 ,包括 对 象 访问 的 审核 策略 ， 如 图 2-8 中 所 示 。Windows 
通过 启用 对 象 访问 策略 ,并 在 系统 访问 控制 列表 中 设置 审核 ACE, 对 相关 对 象 启用 审核 。 
当 访 问 者 尝试 打开 对 和 象 时 ,安全 性 引用 监视 疾 首 先 确 定 允 许 还 是 拒绝 该 尝试 。 如 果 
启用 了 对 象 访问 审核 , 则 扫描 对 象 的 系统 ACL。 有 两 种 类 型 的 审核 ACE: 允许 访问 和 拒 
绝 访问 ,审核 ACE 必须 与 访问 者 持 有 的 SID 匹配 ,必须 与 所 请 求 的 访问 方法 匹配 ,并且 
其 类 型 (允许 访问 或 拒绝 访问 ) 必 须 与 访问 检查 的 结果 匹配 ,才能 生成 对 象 访 问 审核 记录 。 
对 和 象 访问 审核 记录 不 仅 包 括 允 许 或 拒绝 访问 的 事实 ,还 包括 成 功 或 失败 的 原因 。 在 


of 
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审核 记录 中 ,这 种 “访问 原因 ”报告 通常 采用 SDDL (Security Descriptor Definition 
Language, 安 全 标识 从 定义 语言 ) 中 指定 的 访问 控制 条 目的 形式 进行 存储 和 显示 。 通 过 
识别 导致 访问 成 功 或 失败 的 原因 可 以 帮助 管理 员 诊 断 相 关 的 问题 ,例如 ,在 应 该 拒绝 访问 
对 和 象 的 场景 下 出 现 人 允许 访问 的 记录 ,或 者 在 应 该 允许 访问 对 乏 的 场 录 下 出 现 拒绝 访问 的 
记录 ,可 以 查找 相应 的 审核 记录 查找 原因 。 

2) 全 局 审核 策略 

除了 单个 对 象 上 的 对 象 访 问 ACE 之 外 ,还 可 以 为 局 用 了 对 象 访问 审核 的 系统 定义 
全 局 审核 案 略 ,该 襟 上 略 人 允许 对 系统 中 所 有 文件 系统 对 象 、 所 有 注册 表 项 进行 对 象 访问 审 
核 。 因 此 ,安全 审核 员 可 以 统一 指定 所 需 的 公共 审核 项 ,而 不 必 为 各 个 单项 单独 设置 或 检 
查 SACL。 

例如 ,在 图 2-9 中 ,省 理 员 可 以 通过 “局 级 审核 琐 略 配置 ”中 的 “全 局 对 和 象 访问 审核 ” 查 
询 和 配置 全 局 审核 策略 ,或 者 是 在 命令 行 中 运行 命令 auditpol /resourcesacl 执行 相关 操 
作 。 配 置 全 局 审核 菏 略 后 ,将 其 作为 SACL 存储 在 注册 表 中 ,分 别 位 于 HKEY_LOCAL_ 
MACHINE\SECURITY\policy\GlobalSaclNameFile 和 HKEY LOCAL MACHINE\ 
SECURITY\policy\GlobalSaclNameKey 中 。 在 未 设置 相应 的 全 局 SACL 之 前 ,注册 表 
中 并 没有 存储 相关 的 内 容 。 

需要 说 明 的 是 ,安全 对 象 的 SACL 是 不 能 覆 冀 全 局 审核 策略 的 ,但 对 销 的 SACL 可 
以 允许 进行 其 他 审核 。 例 如 ,全 局 审核 策略 可 能 要 求 审核 所 有 用 户 对 所 有 文件 的 读 取 权 
限 , 但 单个 文件 的 SACL 可 以 添 加 特定 用 户 对 该 文件 的 写 入 属性 权限 的 审核 策略 。 


2.1.5 磁盘 管理 


磁盘 管理 是 Windows 中 用 于 管理 磁盘 的 高 级 系统 实用 程序 ,用 于 管理 Windows 中 
加 载 的 各 类 存储 设备 。Windows 文 持 通过 多 种 互 连 机 制 将 磁盘 连接 到 系统 中 ,例如 ， 
SCSI.SAS、SATA、USB、SD/MMC 和 iSCSI(Internet 小 型 计算 机 系统 接口 ), 相 关 的 存 
储 设 备 包 括 便 盘 (HDD) .固态 磁盘 (SSD) ,光学 介质 (例如 光盘 )、USB 闪存 驱 动 带 等 与 终 
端 物理 连接 的 设备 ,也 包括 存储 区 域 网 络 (SAN) .iSCSI、 网 络 附属 存储 设备 (NAS) 等 网 
络 和 存储 设备 类 型 以 及 虚拟 化 存储 设备 (例如 虚拟 便 盘 ) 。 

本 市 主要 介绍 Windows 中 关于 便 盘 存储 的 基础 知识 ,而 移动 存储 和 远程 存储 是 在 用 
户 模 式 下 实现 的 ,在 本 三 中 不 做 介绍 。 

磁盘 是 终 病 中 最 重要 的 存储 设备 ,其 中 存放 的 数据 信息 通 币 远 远 霹 于 磁盘 本 身 的 价 
值 。 数 据 存 储 在 称 为 悄 区 的 可 寻 址 的 数据 块 中 ,是 读 取 和 传输 的 基本 单元 ,所 有 传输 的 数 
据 必 须 是 而 区 大 小 的 伴 数 。 操 作 系统 通 过 文件 系统 驱动 程序 访问 存储 在 磁盘 设备 上 的 效 
据 块 ,这 些 设 备 可 以 是 机 械 人 硬盘. 回 态 便 盘 或 混合 两 种 工作 方式 的 混合 硬盘。 

在 Windows 中 ,磁盘 类 驱动 程序 创建 表示 伐 盘 的 设备 对 象 , 做 盘 的 设备 对 象 名 称 为 
\Device\ Harddisk * \DR* ,其 中 的 * 由 程序 分 配 的 数字 蔡 换 ,从 数字 0 开始。 图 2-10 是 
使 用 Sysinternals 的 WinObj 实用 程序 查看 Windows 系统 中 基本 磁盘 目录 的 结果 ,在 右 
侧 窄 格 中 显示 了 物理 磁盘 和 分 区 设备 对 象 。 

Windows 将 磁盘 分 为 基本 (basic) 磁盘 和 动态 (dynamic) 人 厂 盘 两 种 ,二 者 的 区 别 在 于 

58 


ly 


第 2 章 终端 操作 系统 工作 机 制 。 ma 


WinODbj - Sysinternals: www.sysinternals.com 


File View Help 


一 国 ArcName | 下 

> -加 BaseNamedOb Symboliclink \Device\HarddiskO\DRO 

] | a symbolicLink \Device\HarddiskVolumel 
:mn ics SymbolicLink \Device\HarddiskVolume2 
. -i SymbolicUink \Device\HarddiskVolume3 
: “tp symbolicLink \Device\HarddiskVolume4 
Dver SymbolicLink \Device\HarddiskVolume5 
symbolicLink \Devicea\HarddiskVolume6 
symbolicLink \Device\HarddiskVolume7 


-图 DriverStores 

C | | FleSystem 

… 国 GLOBAL?? 

"| | KernelObjects 

| 1 KnownDlls 

-=| | KnownDlls32 

-网 NLS 

- 国 ObjectTypes 

a RPC Control 
< | es 2 
\Device\Harddisk0 


图 2-10 ”基本 磁盘 目录 


动态 磁盘 使 用 了 比 基 本 磁盘 更 为 灵活 的 分 区 方案 ,支持 创建 新 的 多 分 区 卷 。Windows 默 
认 将 所 有 的 磁盘 虱 作 为 基本 人 磁盘 进行 管理 。 动 态 人 磁盘 需要 手动 创建 或 将 现 有 的 基本 磁盘 
( 逢 要 具有 足够 的 空 用 空间 ) 转 换 为 动态 人 磁盘; 右 要 将 动态 磁盘 转换 回 基 本 人 磁盘 ,必须 删除 
磁盘 中 的 所 有 卷 ,并 探 除 磁 盘 上 的 所 有 数据 。 因 此 在 转换 前 需要 备份 所 有 要 保留 的 数据 ， 
然后 再 继续 转换 操作 。 除 非 必 须 使 用 动态 磁盘 的 多 分 区 功能 外 ,使 用 基本 磁盘 即 可 满足 
使 用 需求 。 也 可 以 使 用 存储 空间 技术 ,该 技术 是 将 两 个 或 多 个 磁盘 分 配 到 一 个 存储 池 中 ， 
然后 使 用 存储 池 的 容量 来 创建 称 为 存储 空间 的 虚拟 驱动 天 。 


1. 基本 磁盘 

Windows 在 基本 磁盘 上 使 用 MBR 和 GPT 两 种 分 区 来 定义 卷 和 卷 管理 器 驱动 程序 
(将 卷 展现 给 文件 系统 的 驱动 程序 )。 

1) MBR 分 区 

MBR(Master Boot Record, 主 引导 记录 ) 使 用 标准 BIOS 分 区 表 , 当 基于 BIOS 的 系 
统 局 动 时 ,计算 机 的 BIOS 完成 对 计算 机 硬件 的 初步 配置 后 , MBR 先 于 操作 系统 被 调 入 
内 存 , 然 后 才 将 控制 权 交 给 主 分 区 (活动 分 区 ) 内 的 操作 系统 ,并 用 主 分 区 信息 表 来 管理 硬 
盘 。 在 Windows 等 操作 系统 中 ,MBR 还 包含 4 个 分 区 表 , 定 义 了 磁盘 上 最 多 4 个 主 分 区 
的 位 置 ,同时 记录 了 分 区 的 类 型 ,例如 FAT32 和 NTFS。 

为 了 突破 每 个 物理 磁盘 上 4 个 分 区 的 限制 , Windows 采用 了 一 种 特殊 的 分 区 类 
型 扩展 分 区 。 扩 展 分 区 包含 目 己 的 分 区 表 ,在 扩展 分 区 中 的 主 分 区 称 为 逻辑 驱动 器 。 
扩展 分 区 在 一 个 磁盘 中 最 多 有 一 个 , 且 主 分 区 和 扩展 分 区 的 总 和 不 能 超过 4 个 ,无论 系统 
中 建立 多 少 个 逻辑 驱动 器 ,在 主 引导 扇 区 中 通过 一 个 扩展 分 区 的 参数 就 可 以 逐个 找到 每 
一 个 逻辑 驱动 需 。 理 论 上 ,在 扩展 分 区 允许 的 递归 可 以 无 限 地 继续 ,这 意味 着 磁盘 的 分 区 
数量 不 存在 上 限 ,在 实际 工作 中 ,通常 在 扩展 分 区 内 最 多 建立 23 个 逻辑 分 区 ,每 个 逻辑 分 区 
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都 单独 分 配 一 个 盘 符 ( 即 字 母 D 一 2) ,这 些 分 区 可 以 被 计算 机 作为 独立 的 物理 设备 使 用 。 

2) GPT 分 区 

GPT 分 区 是 UEFI 定义 的 一 种 分 区 方案 。 全 称 为 GUID( 全 局 唯一 标识 符 ) 分 区 表 
(GUID Partition Table) ,GPT 的 名 称 来 源 于 GPT 为 每 个 分 区 存储 一 个 36B 的 Unicode 
分 区 名 称 ,并 为 每 个 分 区 分 配 一 个 GUID(16B)。 针 对 MBR 分 区 存储 空间 、 分 区 表 完 整 
性 风险 等 局 限 性 ,GPT 分 区 采用 了 一 些 技术 解决 相关 问题 。 例 如 ,MBR 分 区 使 用 32 位 
扇 区 地 址 ,而 GPT 分 区 使 用 64 位 扇 区 地 址 ,因此 ,MBR 分 区 最 大 可 访问 2TB 的 存储 空 
间 ,而 GPT 分 区 允许 有 2” 个 局 区 ,对 于 512 字 节 / 扇 区 的 磁盘 ,最 大 可 为 9.4ZB 左右 , 基 
本 能 满足 未 来 对 磁盘 存储 的 需求 。GPT 采用 循环 见 余 校 验 和 (Cyclic Redundancy 
Check,CRC) 来 确保 分 区 表 的 完整 性 ,同时 在 硬盘 的 最 后 部 分 的 存储 空间 中 保存 了 一 份 
分 区 表 的 副本 。 

3) 基本 磁盘 卷 管理 需 

养 管理 需 驱 动 程序 (在 %SystemRoot%ANSystem32\Drivers\Volmsgr.sys 中 ) 创 建 表 
示 基 本 磁盘 上 卷 的 磁盘 设备 对 象 , 对 于 每 个 卷 , 卷 管理 硕 创 建 一 个 形式 为 \Device' 
HarddiskVolumex 的 设备 对 象 ,其 中 * 是 标识 卷 的 数字 (从 1 开始) 。 它 负责 枚 人 举 基 本 磁 
盘 来 检测 基本 卷 的 存在 ,并 将 基本 磁盘 报告 给 Windows 即 插 即 用 (PnP) 管 理 禹 。 在 分 区 
管理 送 (Partmgr.sys) 的 协助 下 ,对 基本 磁盘 分 区 的 增加 .删除 傅 息 进行 登记 和 更 新 。 


2. 动态 磁盘 

动态 磁盘 是 Windows 中 用 于 创建 多 分 区 卷 所 需 的 磁盘 格式 (例如 条 市 磁盘 阵列 和 
RAID-5 磁盘 阵列 ) ,通过 逻辑 磁盘 管理 器 (Logical Disk Manager,LDM) 对 动态 磁盘 进行 
分 区 来 实现 。LDM 是 Windows 中 虚拟 磁盘 服务 (Virtual Disk Service, VDS) 子 系统 的 
一 部 分 ,由 用 户 模式 和 设备 驱动 程序 组 件 组 成 ,用 于 监视 动态 磁盘 。 

LDM 分 区 与 MBR 分 区 .GPT 分 区 的 主要 区 别 在 于 :; LDM 维护 的 是 一 个 统一 数据 
库 , 用 于 存储 系统 上 所 有 动态 伐 盘 的 分 区 信息 (包括 多 分 区 卷 配 置 )。 由 于 LDM 数据 库 
驻 留 在 每 个 动态 磁盘 末尾 的 1MB 保留 空间 中 ,因此 ,如 果 需 要 将 基本 磁盘 转换 为 动态 磁 
盘 , 必 须 确保 磁盘 末尾 有 1MB 可 用 空间 。LDM 数据 库 内 容 的 细节 信息 可 以 使 用 
Sysinternals 的 LDMDumop 工具 进行 查看 。 

虽然 动态 人 磁盘 的 分 区 数据 驻 留 在 LDM 数据 库 中 ,但 LDM 实现 了 MBR 分 区 或 GPT 
分 区 ,这样 便于 Windows 引导 代码 可 以 在 位 于 动态 磁盘 上 的 卷 中 查找 到 系统 和 引导 卷 ， 
也 能 确保 传统 的 磁盘 管理 程序 不 会 错误 地 认为 动态 磁盘 没有 分 区 。 

由 于 LDM 分 区 并 没有 在 磁盘 的 MBR 或 GPT 中 描述 ,因此 ,LDM 中 的 MBR 或 
GPT 分 区 称 为 软 分 区 ,而 在 基本 磁盘 中 的 MBR 和 GPT 分 区 则 称 为 硬 分 区 。 

3. 多 分 区 卷 的 管理 

VolMsgr 负责 呈现 文件 系统 驱动 程序 管理 的 卷 ,并 将 针对 卷 的 I/O 映射 到 它们 所 属 
的 底层 分 区 。 对 于 多 分 区 卷 来 说 ,由 于 组 成 卷 的 分 区 可 以 是 不 连续 的 分 区 ,甚至 位 于 不 同 
的 磁盘 上 ,因此 ,VolMgr 使 用 VolMgrX 处 理 针 对 其 管理 的 多 分 区 卷 的 所 有 1/O 请 求 。 
在 Windows 中 ,可 以 使 用 以 下 类 型 的 多 分 区 卷 : 
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1) 路 距 卷 

跨 距 卷 (spanned volume) 是 一 个 有 最 多 32 个 空闲 分 区 构成 的 逻辑 卷 ,Windows 的 磁 
盘 管 理 将 这 些 在 一 个 或 多 个 磁盘 上 的 分 区 组 合 为 一 个 跨 距 卷 。 在 图 2-11 中 ,有 一 个 
200GB 的 器 距 郑 ,用 驱动 带 D: 表 示 ,该 路 距 卷 由 第 一 个 磁盘 的 后 一 半 和 第 二 个 磁盘 的 前 
一 半 组 合 而 成 。 在 Windows NT 4 中 , 跨 距 卷 称 为 卷 集 (volume set) 。 


Cs | D: 
(100GB) _NIFS (100GB) 
Volumel 


BE: 
(100GB) NTFS 
Volume3 


D: 
(100GB) 


图 2-11 跨 距 卷 


跨 距 卷 有 效 地 利用 了 磁盘 空间 ,将 空闲 磁盘 空间 中 的 多 个 小 区 域 合 并 成 一 个 大 的 卷 ， 
或 将 两 个 或 多 个 小 磁盘 合并 成 一 个 大 的 卷 。 如 果 采 用 NTFS 格式 的 跨 距 卷 ,还 可 以 加 入 
新 的 空闲 空间 或 新 的 磁盘 进行 扩展 ,而 不 会 影响 到 该 卷 上 已 经 保存 的 数据 。 

2) 条 带 卷 

条 带 卷 (striped volume) 是 由 至 多 32 个 分 区 组 成 的 单个 逻辑 卷 , 要 求 组 成 条 带 卷 的 
每 个 磁盘 为 一 个 分 区 , 且 分 区 大 小 必须 是 相同 的 。 条 和 带 卷 也 称 为 RAIDO 卷 。 图 2-12 显 
示 了 一 个 由 3 个 分 区 构成 的 条 带 卷 ,3 个 磁盘 均 各 有 一 个 分 区 。 由 于 磁盘 大 小 可 以 不 同 ， 
因此 条 带 卷 中 的 分 区 并 不 一 定 要 占据 整个 磁盘 ;但 由 于 分 区 大 小 必须 相同 ,因此 某 些 磁盘 
中 可 能 会 出 现 剩 余 的 磁盘 空间 。 


傍 盘 ] 磁盘 2 磁盘 3 


~ 后 上 ha 一 
~ 后 (nn -LO 一 


图 2-12 条 带 卷 
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对 于 文件 系统 来 说 ,图 2-12 中 的 3 个 磁盘 分 区 组 成 了 一 个 450GB 的 条 市 卷 , 卷 管理 
英 通 过 调整 卷 中 的 数据 在 这 些 物 理 磁盘 上 的 分 布 来 优化 数据 存储 和 信息 检索 时 间 。 

条 和 市 单元 通常 为 64KB, 用 于 避免 小 数据 量 的 该 取 和 写 人 操作 可 能 访问 两 个 物理 磁 
盘 的 情况 出 现 。 条 和 市 单元 数据 往往 在 磁盘 之 间 均 匀 分 布 。 由 于 条 种 可 以 并 行 访 问 , 因 此 ， 
对 于 由 个 磁盘 组 成 的 条 市 ,理论 上 其 数据 传输 率 是 单个 磁盘 传输 率 的 N 倍 , 因 此 磁盘 
LO 的 延迟 时间 理 论 上 会 减少 。 尤 其 是 在 高 性 能 的 系统 中 ,采用 条 市 卷 会 提升 系统 的 性 
能 。 但 是 ,如 果 组 成 条 市 的 物理 磁盘 性 能 不 一 致 ,人 磁盘 I/O 会 受 性 能 最 低 的 物理 人 磁盘 
影响 ，。 

路 距 卷 为 管理 磁盘 卷 提 供 了 便利 条 件 , 条 市 郑 将 1/O 负载 分 散 到 多 个 磁盘 。 但 是 ， 
这 两 种 卷 管理 方法 都 缺乏 恢复 数据 的 能 力 。 如 果 需 要 数据 恢复 的 能 力 , 应 该 使 用 另外 两 
种 见 余 存储 方案 : 镜像 卷 和 RAID5 卷 。 

3) 镜像 卷 

顾名思义 ,镜像 卷 (mirrored volume) 中 一 个 磁盘 分 区 的 内 容 会 被 复制 到 另 一 个 磁盘 
上 相同 大 小 的 分 区 中 ,如 图 2-13 所 示 。 镜 像 卷 也 被 称 为 RAID1 卷 。 


图 2-13 ”镜像 卷 


当 一 个 程序 回 驱 动 硕 C: 的 分 区 ( 主 分 区 ) 中 写 数 据 时 , 卷 管理 硕 会 将 相同 的 数据 写 到 
镜像 分 区 中 的 相同 位 置 。 如 果 主 分 区 中 的 任何 数据 由 于 某 种 原因 (硬件 或 软件 ) 导 致 不 可 
访问 时 , 卷 管理 硕 将 目 动 访问 镜像 分 区 中 的 数据 。 

在 融 负 和 倚 系统 中 ,镜像 卷 可 以 提高 磁盘 的 谈 存 吐 量 。 当 IO 活动 很 频繁 时 , 卷 管理 
融会 在 主 分 区 和 镜像 分 区 之 间 通 过 计算 每 个 磁盘 挂 起 的 未 完成 W/O 请 求 的 数量 平衡 其 
读 取 操作 ,两 个 分 区 的 读 取 操作 可 以 同时 进行 ,所 以 理论 上 可 以 在 一 半 的 时 间 内 完成 。 写 
入 文件 时 ,由 于 必须 写 入 镜像 卷 的 两 个 分 区 ,因此 ,如 果 镜 像 磁盘 使 用 的 是 不 同 速 度 的 磁 
盘 ,整体 写 入 性 能 将 取决 于 写 入 速度 最 慢 的 磁盘 的 性 能 。 

4) RAID5 卷 

RAID5 卷 是 常规 条 带 郑 的 一 种 容错 版 本 ,也 称 为 文 持 旋 转 奇 偶 校 验 的 条 审 卷 。 
RAID5 卷 预 留 了 等 价 于 一 个 分 区 的 容量 ,用 于 存储 每 个 条 市 的 奇 借 校 验 和 ,因此 通 稼 需 
要 至 少 3 个 磁盘 实现 ,如 图 2-14 所 示 。 
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| 
2 
3 
4 
3 
6 


图 2-1]4 RAID5 着 


在 图 2-14 中 ,条 市 1 的 奇偶 校 验 和 存储 在 人 磁 盘 3 中 , 它 包 含 了 磁盘 1 和 2 中 第 一 个 
条 市 的 字 节 的 奇偶 校 验 和 。 条 审 2 的 奇偶 校 验 存 储 在 磁盘 2 中 ,条 市 3 的 奇偶 校 验 存储 
在 磁盘 1 中 。 以 此 类 推 ,采用 轮流 方式 ,将 奇 个 校 验 和 分 布 到 各 个 磁盘 上 。 每 当 数 据 写 人 
磁盘 时 ,对 应 于 修改 的 衬 太 ,必须 重新 计算 和 重 写 对 应 的 可 候 校 验 和 。 因 此 ,可 能 会 出 现 
以 下 和 情况: 如 采 始 终 对 同一 磁盘 写 人 奇 偶 校 验 和 ,可 能 导致 该 磁盘 过 民 ,形成 IO 瓶 贷 。 

RAID5 卷 的 容错 功能 是 通过 奇偶 校 验 实现 的 。 以 图 2-14 所 示 的 RAID5 卷 为 例 , 如 
末 磁 盘 1 因 各 种 原因 导致 失效 , 则 磁盘 1 中 条 向 1 和 4 的 内 容 可 以 通过 将 磁盘 2 中 的 对 
应 条 带 与 磁盘 3 中 的 奇偶 校 验 和 条 带 进行 XOR 运算 而 重新 得 到 ;类 似 地 ,磁盘 1 中 条 带 
2 和 5 的 内 容 , 可 以 通过 将 磁盘 3 中 的 对 应 条 市 与 磁盘 2 中 的 奇偶 校 验 和 条 市 进行 XOR 
运算 而 得 到 。 以 此 类 推 , 便 可 将 磁盘 1 的 数据 恢复 。 

5) 挂 载 管理 融 

安装 Windows 后 , 挂 载 管理 送 ( 在 %SystemRoot%m%ANSystem32\Drivers\Mountm gr. 
sys 中 ) 为 动态 磁盘 卷 和 基本 磁盘 卷 . 认 盘 驱动 锅 和 可 移 除 设备 等 存储 设备 分 配 驱 动 需 
号 ,并 将 分 配 信息 存储 在 注册 表 HKLM\SYSTEM\MountedDevices 键 中 。 图 2-15 列 出 
了 注册 表 MountedDevices 键 中 保存 的 驱动 絮 信 息 , 可 以 看 到 “名 称 ” 列 中 列 出 了 \??\ 
Volume(l x* } 的 值 ,其 中 x* 为 GUID 值 。 


2.1.6 ”内 存 管理 


内 存 管理 硕 Ntoskrnl.exe 是 Windows 内 核 和 系统 的 可 执行 程序 , 它 由 以 下 组 件 
构成 : 

(1) 用 于 分 配 和 管理 虚拟 内 存 的 一 组 系统 服务 ,其 中 大 部 分 通过 Windows API 或 内 
核 模式 设备 驱动 程序 接口 公开 。 

(2) 一 个 处 理 转 译 无 效 和 访问 错误 的 陷阱 处 理 程序 ,用 于 解决 硬件 检测 到 的 内 存 管 
理 异 和 常 ,并 代表 一 个 进程 使 得 虚拟 页 驻 留 在 内 存 中 。 

(3) 6 个 顶级 例 程 : 权衡 集 管 理 融 .进程 / 栈 交 换 规 .已 修改 页 面 编写 硕 、 映 射 页 面 纺 
写 器 、 段 解除 引用 线程 、 零 页 面 线程 。 

Windows 实现 了 一 个 基于 线性 地 址 空间 的 虚拟 内 存 系统 ,使 每 一 个 进程 都 有 独立 的 
私有 地 址 空间 。 虚 拟 内 存 采 用 了 一 种 可 能 与 内 存 的 物理 布局 并 不 对 应 的 内 存 逻 辑 视图 ， 
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文件 (F) 编辑 (E) 查看 (V) ”收藏 去 (内 帮助 (H) 
计算 机 NHKEY LOCAL MACHINE\SYSTEM\MountedDevices 
v 黑 计算 机 \ 类 型 


》 同 HKEY CLASSES ROOT 
> [| HKEY_ CURRENT_USER 
v | | HKEY LOCAL MACHINE 
: > 国 BCD00000000 
: > HARDWARE 
> sa 
: … 国 sECURITY 
: > [ SOFTWARE 
: v [| sYysTEM 
: > | | ActivationBroker 
) | | ControlSet001 
\ | | CurrentControlSet 
) | | DriverDatabase 
) | HardwareConfig 
> | | Input 
> 1 Keyboard Layout 
> 1 Maps 
~ MountedDevices 
> | | ResourceManager 
> 1 ResourcePolicySto 
“加 RNG 
-加 seledt 
> 同 Setup 
> | | Software 


本 | = 


全 |\?NVolume{00e5c523-e04e-11e... 


WN\?NVolume{0462f7df-760f-11e8-... 
钢 \?NWVolume{0463057e-760f-11e8... 
|\?NVolume{046305a0-760f-11e8... 


人 \?NVolume{16a045bb-74fc-11e... 


| ?WNWVolume{lcbbce9a-02d1-11e... 


名 |\?N\WVolume{2ca4660e-2ca5-11e... 
NNVolume{3b75fd9c-7ab8-11e... 


I\?NVolume{3dd44c16-ff80-11e8... 
PN\?NVolume{3dd469e8-ff80-11e8... 
PN\?NVolume{4bcf3fc2-41e6-11e8... 
?NWVolume{AdB887ca5-50b3-11e... 
|\?N\Volume{4d8882dc-50b3-11e... 


全 \?NWWolume{6403602c-3615-11e... 


WN\?NVolume{64ffle82-b7db-11e8... 
PN\?NVolume{64ffle87-b7db-11e8... 
?NVolume{909b4548-47ad-11e... 
I\?NWVolume{972dc738-5328-11e... 
BN\?NWVolume{972dc739-5328-11e... 


I\?NVolume{97ea5183-3df0-1 le.., 
PI\?NVolume{9d10031f-d0e8-11e... 
he \?NVolumela26c9a07-5991-11e.., 


REG SZ 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 
REG BINARY 


(数值 未 设置 ) 

5f 00 3f 00 3f 00 5f 00 
5f 00 3f 00 3f 00 5f 00 
5c 00 3f 00 3f 00 5c OC 
5c 00 3f 00 3f 00 5c O( 
sf 00 3f 00 3f 00 5f 00 
5f 00 3f 00 3f 00 5f 00 
5f 00 3f 00 3f 00 5f 00 
sc 00 对 00 3{ 00 5c O( 
5f 00 3f 00 3f 00 5f 00 
5f 00 3f 00 3f 00 5f 00 
5c 00 3f 00 3f 00 5c O( 
5c 00 3f 00 3f 00 5c O( 
St 00 3f00 3f 00 St 00 
5f 00 3f 00 3f 00 5f 00 
sf 00 3f 00 3f 00 5f 00 
sf 00 3f 00 3f 00 Sf 00 
5f 00 3f 00 3f 00 5f 00 
5f 00 3f 00 3f 00 5f 00 
7b 00 39 00 37 00 32 1 
5f 00 3f 00 3f 00 5f 00 
Sf 00 3f 00 3f 00 5f 00 
5c 00 3f 00 3f 00 5c O( vy 


< 和 和 > .: 
2-15 注册 表 MountedDevices 键 中 保存 的 驱动 兹 信息 


在 运行 时 ,内 存 管 理 带 在 便 件 文 持 下 ,将 虚拟 内 存 转换 或 者 映射 到 实际 存储 数据 的 物理 内 
人 存 , 如 图 2-16 所 示 。 通 过 这 一 机 制 ,操作 系统 可 以 确 你 一 个 进程 不 会 与 其 他 进程 冲突 ,也 
不 会 改写 操作 系统 的 数据 。 


虚拟 内 存 


硬盘 
图 2-16 将 虚拟 内 存 映射 到 物理 内 存 


通常 程序 要 求 的 内 存 空间 都 比较 高 ,但 在 程序 实际 运行 时 并 不 需要 这 些 空间 。 例 如 ， 
程序 中 设计 了 存储 100 个 字符 的 数据 空间 ,在 实际 运行 时 可 能 仅 需 要 能 存储 10 个 字符 的 
内 存 空间 就 可 以 运行 了 。 因 此 ,从 实际 情况 看 ,程序 申请 的 内 存 资源 通常 要 大 于 运行 所 需 
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的 内 存 资 源 。 因 为 大 多 数 系统 的 物理 内 存 总 量 小 于 进程 所 用 到 的 虚拟 内 存 总 量 , 所 以 内 
存 管理 器 会 将 物理 内 存 中 的 某 些 内 容 转移 到 硬盘 中 ,以 便 释 放 相 应 的 物理 内 存 空间 供 操 
作 系 统 使 用 或 者 分 配给 其 他 进程 使 用 。 当 线程 访问 一 个 已 被 转移 到 人 硬盘 上 的 虚拟 地 址 
时 ,虚拟 内 存 管 理 需 会 将 硬盘 中 对 应 的 内 容 加 载 到 内 存 中 。 在 硬件 的 文 持 下 ,内 存 管 理 器 
无 须 了 解 任何 关于 进程 或 线程 的 知识 ,也 无 须 进 程 或 线程 的 协助 ,应 用 程序 无 须 任 何 改变 
就 可 以 利用 这 种 分 页 (paging) 功 能 实现 分 页 。 

虚拟 地 址 空间 的 大 小 在 不 同 硬件 平台 上 有 所 不 同 。 在 32 位 x86 系统 中 ,虚拟 地 址 空 
间 的 理论 最 大 值 为 4GB(32 位 系统 的 地 址 空间 为 22b, 换 算 为 存储 空间 为 4GB)。64 位 
Windows 提供 了 更 大 的 地 址 空间 ,为 16EB。 但 是 由 于 目前 64 位 硬件 地 址 空间 的 限制 ， 
在 实际 使 用 中 ,在 IA-64 系统 中 为 7152GB, 在 x64 系统 中 为 8192GB ,如 图 2-17 所 示 。 


1A-64 x04 


7152GB 8192GB 
(71TB) (8TB) 
用 户 进 程 空间 用 户 进 程 空 间 


7152GB 8192GB 
系统 空间 系统 空间 


图 2-17 64 位 Windows 的 实际 地 址 空间 


由 于 在 实际 工作 中 物理 内 存 和 虚拟 地 址 空间 大 小 并 不 一 一 对 应 ,为 了 有 效 地 管理 物 
理 内 存 和 虚拟 地 址 ,内 存 管 理 天 需要 完成 以 下 主要 功能 

(1) 将 进程 的 虚拟 地 址 空 ; 间 转 换 或 映射 到 物理 内 存 中 ， 当 在 该 进程 的 上 下 文中 运行 
的 线程 读 取 或 写 人 虚拟 地 址 空间 时 ,可 以 引用 正确 的 物理 地 址 。 

(2) 当 运 行 的 线程 或 系统 意图 使 用 比 当前 可 用 物理 内 存 更 多 的 内 存 时 ,将 内 存 中 菏 
些 暂 时 不 使 用 的 数据 采用 分 页 或 交换 的 方式 转移 到 磁盘 中 。 当 条 些 进程 或 程序 需要 这 些 
数据 时 ,再 将 其 读 回 物理 内 存 。 

Windows 中 的 虚拟 内 存 是 分 页 文 件 的 应 用 ,在 Windows 中 可 以 设置 虚拟 内 存 文件 
的 存储 位 置 、 分 页 文件 的 大 小 等 。 利 用 Windows Sysinternals 的 进程 管理 大 (Process 
Explorer) 工 具 可 以 显示 操作 系统 中 物理 内 存 和 虚拟 内 存 的 详细 信息 ,Sysinternals 中 的 
男 外 两 个 工具 则 可 以 显示 扩展 的 内 存 信 息 : 

VMMap: 显示 一 个 进程 的 虚拟 内 存 使 用 情况 。 

* RAMMap: 显示 物理 内 存 使 用 情况 

Windows 实际 的 内 存 省 理 更 复 森 ,详细 的 内 容 可 参考 相关 方面 专业 书籍 深入 学 习 。 
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2 2 UNIX 操作 系统 


UNIX 可 以 追溯 到 20 世纪 60 年 代 中 期 , 源 自 麻 省 理工 学 院 、 贝 尔 实验 室 ( 此 时 属于 
AT&.T 公 司 ) 和 通用 电气 共同 开发 的 分 时 操作 系统 Multics, 最 初 使 用 汇编 语言 编写 。 
1973 年 ,Multics 使 用 C 语言 重 写 代码 后 ,发 布 为 第 4 碑 ,Unix 正式 诞生 (Unix 名 称 的 由 
来 已 无 法 考证 )。 由 于 其 开源 特性 和 多 用 户 、 多 任务 的 设计 理念 ,在 其 基础 上 发 展 和 衍生 
出 很 多 类 似 的 操作 系统 ,包括 类 Unix 操作 系统 。 

UNIX 最 初 只 计划 在 贝尔 实验 室 开 发 的 内 部 系统 中 使 用 。AT&T 在 20 世纪 70 年 
代 后 期 回 外 部 授权 许可 使 用 UNIX, 出 现 了 各 类 商业 和 学 术 人 研究 使 用 的 UNIX 变 体 , 包 括 
加 州 大 学 但 元 利 分 校 的 BSD .微软 公司 的 Xenix、IBM 公司 的 AIX 和 Sun Microsystems 
公司 的 Solaris 等 版 本 。20 世纪 80 年 代 后 期 , AT&T UNIX 系统 实验 室 和 Sun 
Microsystems 开发 了 了 System V Release 4(SVR4) ,后 来 被 许多 商业 UNIX 供应 商 采 用 。 
20 世纪 90 年 代 , 随 大 BSD 和 Linux 发 行 版 的 广泛 流行 ,通过 全 球 程序 员 网 络 的 协作 开 
发 ,UNIX 和 类 UNIX 系统 也 越 来 越 受 欢迎 。 


2.2.1 UNIX 家 族 


UNIX 系统 以 及 基于 UNIX 系统 发 展 而 来 的 兴 UNIX 操作 系统 已 经 形成 了 一 个 庞 
大 的 UNIX 家 庭 。BSD、AIX Solaris、Linux、HP-UX IRIX 、Xenix 等 操作 系统 都 来 源 于 
UNIX 系统 , 随 看 技术 的 发 展 和 定位 的 差异 ,这 一 类 操作 系统 逐步 发 展 为 商用 和 开源 两 个 
方 回 。 其 中 非 稼 著名 的 两 个 变 体 就 是 Linux 和 Mac。 而 我 国 的 国产 操作 系统 多 以 Linux 
为 基础 进行 二 次 开发 。 

1. Linux 

Linux 是 遵循 目 由 软件 基金 会 (Free Software Foundation ,FSF) 制 定 的 规则 ,通过 通 
用 公共 许可 证 (General Public License,GPL) 管 理 的 类 UNIX 操作 系统 。 该 系统 由 分 兰 
人 Linus Torvalds 于 1991 年 首次 发 布 , 最 初 是 为 基于 Intel x86 架构 的 个 人 计算 机 开发 
的 。 由 于 其 免费 和 开源 的 特性 ,使 得 Linux 得 以 迅速 发 展 壮大 ,在 后 续 技 术 发 展 中 也 被 移 
植 到 其 他 平台 上 。 例 如 ,智能 手机 中 广泛 使 用 的 Android 操作 系统 ,其 核心 就 是 Linux 及 
其 衍生 系统 。Linux 系统 也 是 服务 希 和 大 型 计算 机 的 主要 操作 系统 ,是 目前 超级 计算 机 
上 了 唯一 使 用 的 操作 系统 类 型 。 很 多 角 入 式 系 统 也 采用 Linux 作为 文 择 系统 。 在 基于 
Linux 的 发 行 版 操作 系统 中 ,比较 流行 的 有 CentOS Ubuntu 、RedHat 等 。 


2. MacOS 
MacOS 是 由 茸 果 公司 开发 的 图 形 化 时 面 操 作 系 统 , 在 果 面 计算 机 、 笔 记 本 电脑 和 和 家 
用 计算 机 市 场 中 是 仅 次 于 微软 公司 Windows 操作 系统 的 第 二 大 桌面 操作 系统 。MacOS 
基于 1985 一 1997 年 在 NeXT 系统 上 开发 的 技术 NeXTSTEP, 由 Mach 内 核 和 BSD Unix 
服务 组 成 ,其 图 形 用 户 界 面 (Graphical User Interface, GUI) 编程 语言 建立 在 使 用 
Objective-C 的 面 回 对 象 的 GUI 工具 箱 之 上 。 
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3. 国产 操作 系统 

国产 操作 系统 主要 以 Linux 为 基础 进行 二 次 开发 ,代表 产品 有 深度 ,银河 谣 诅 等 。 

1) 深度 

深度 (deepin)Linux 是 基于 Qt( 由 Qt 公司 开发 的 跨 平 台 C++ 图 形 用 户 界面 应 用 程 
序 开发 框架 ) 的 桌面 操作 系统 (如 图 2-18 所 示 ) ,运行 在 x86-64 架构 上 ,主要 从 Debian 继 
蒜 了 工具 包 , 并 为 其 存储 库 提 供 软件 支撑 。 它 不 仅 对 开源 产品 进行 了 集成 和 配置 ,还 开发 
了 基于 HTML 5 技术 的 全 新 果 面 环境 .系统 设置 中 心 以 及 音乐 播放 硕 .视频 播放 希 、 软 件 
中 心 等 一 系列 面 癌 日 常 使 用 的 应 用 软件 。 诬 度 非 常 注重 多 用 的 体验 和 美观 的 设计 ,多 用 
安装 和 使 用 ,还 能 够 很 好 地 代 兰 Windows 系统 进行 工作 与 娱乐 。 


Y) deepin 


图 2-18 ”深度 操作 系统 


银河 谣 甩 (KYLIN) 桌 面 操 作 系 统 ( 如 图 2-19 所 示 ) 是 在 国家 核 高 茜 科 技 重 大 专项 支 
持 下 研制 的 具有 易 用 、 高 可 徘 . 强 安全 的 国产 是 主 可 欣 操 作 系 统 。 它 是 软 硬 件 碌 容 性 比较 
好 的 国产 条 面 操作 系统 ,友好 易 用 ,主要 面 癌 电子 政务 .电子 军务 .家庭 生 活 和 个 人 娱乐 。 
它 具 有 图 形 化 的 友好 界面 ,集成 了 办 公 软 件 .音乐 播放 融 .视频 播放 需 、 邮 件 客 户 痪 、 网 上 页 
浏览 句 . 杀毒 软 件 等 应 用 软件 。 它 可 以 联网 推送 系统 更 新 包 和 安全 补丁 ,实时 提高 系统 的 
稳定 性 和 安全 性 。 它 文 持 个 性 化 版 本 定制 ,满足 工控 机 、 便 携 机 .平板 电脑 .手持 终端 等 设 
备 的 碌 容 性 需求 以 及 安全 增强 .可 信 计 算 、 版 本 裁剪 等 用 户 需求 。 银 河 月 和 麟 果 面 操作 系统 
已 在 政务 .银行 .电力 .航天 .教育 .大 型 企业 等 行业 和 领域 得 到 了 广泛 应 用 。 

优 甬 腾 操 作 系 统 是 2013 年 由 中 国 CCN 开源 创新 联合 实验 室 和 天 津 鹿 麟 公司 主导 开 
发 的 全 球 开 源 项 目 ( 如 图 2-20 所 示 ) ,是 基于 Ubuntu 的 操作 系统 ,主要 适用 于 台式 机 和 
笔记 本 电脑 。 


KYLIN 
”下 7 品 矢 了 


图 2-19 银河 麒麟 操作 系统 图 2-20 优 崩 麟 操作 系统 
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4) 普 举 

普 华 操作 系统 (如 图 2-21 所 示 ) 以 开源 Linux 为 基础 ,对 系统 的 性 能 ,安全 性 可靠 性 
以 及 易 用 性 进行 优化 和 改进 ,针对 不 同 的 市 场 需求 推出 了 服务 器 操作 系统 产品 和 桌面 操 
作 系 统 产 品 。 普 华 服 务 器 操作 系统 是 一 款 企 业 级 通用 操作 系统 软件 ,广泛 适用 于 全 行业 
基础 平台 应 用 以 及 行政 机 构 领 域 关键 应 用 。 该 操作 系统 采用 图 形 化 的 管理 工具 ,提供 了 
一 个 稳定 安全 的 高 闪 计 算 平 台 , 让 用 户 充 分 利用 Linux 的 可 伸缩 、 高 性 能 和 开放 性 。 普 
华 蝎 面 操作 系统 采用 果 面 环境 和 个 性 化 的 界面 设计 ,符合 Linux 相关 标准 以 及 LSB 4 系 
列 标准 ,提供 了 办 公 软 件 .浏览 右 .邮件 客户 端 以 及 多 媒体 工具 等 币 见 的 果 面 应 用 程序 ,能 
很 好 地 支持 各 类 和 常见 外 设 。 

5) 红旗 

红旗 操作 系统 (如 图 2-22 所 示 ) 结 合 了 Linux 技术 以 及 国家 863 重大 项 目的 技术 规 
范 和 要 求 , 是 一 鞭 面 加 家庭 .教育 政府、 金融 以 及 行业 等 领域 的 通用 蝎 面 操作 系统 平台 ， 
具备 了 服务 需 运 行 环境 所 需要 的 安全 .稳定 .可靠 等 特性 。 经 过 补丁 优化 和 技术 改进 的 系 


统 核心 实现 了 对 外 于 设备 更 好 的 文 持 。 
和 锌 


Linux 


图 2-21 普 华 操作 系统 图 2-22 ”红旗 操作 系统 


6) 思 普 
思 普 CSPGnux) 桌 面 操作 系统 (如 图 2-23 所 示 ) 对 国内 主流 流 式 ,版式 、 签 章 系统 及 


OA 办 公 系 统 进行 了 适 配 , 以 满足 政府 机 关 办 公 应 用 的 要 求 。 其 功能 模块 涵盖 个 人 办 公 、 
企业 管理 .协作 沟通 交流 .商务 应 用 、 实 用 工具 等 方面 ,设计 灵活 ,可 定制 程度 高 , 易 用 性 
好 ,是 目前 国内 兼容 性 较 好 的 操作 系统 产品 ,对 国内 外 各 种 最 新 型 硬件 和 主流 商业 软件 都 
能 较 好 地 文 持 。 它 通过 引 人 和 人 安全 等 级 .安全 类 别 等 安全 标记 ,实现 了 部 分 等 级 保护 功能 。 

7) 一 铭 

一 多 (Emindsoft) 操 作 系 统 ( 如 图 2-24 所 示 ) 提 供 了 桌面 操作 系统 .服务器 操作 系统 
和 智能 终端 操作 系统 ,是 基于 Linux 内 核 开 发 的 ,主要 面向 政府 .军队 教育、 金融 等 行业 
的 通用 型 桌面 操作 系统 。 它 支持 部 分 Windows 程序 软件 蜂 平 台 使 用 ,提供 了 办 公 套 件 、 
浏览 器、 邮件 客户 等 常见 应 用 程序 。 


一 如 软件 
SPGnux ES Emindsoft 


图 2-23” 思 善 操作 系统 图 2-24 一 铭 操 作 系 统 
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8) 方 德 
方 德 昌 面 操作 系统 (如 图 2-25 所 示 ) 基 于 国家 核 高 基 科 技 重 大 专项 安全 操作 系统 内 


核 ,在 系统 安 逆 、 硬 件 设备 文 持 、 核 心性 能 、 蝎 面 环境 德 中 科 方 德 


设计 等 方面 进行 了 较 大 改进 和 优化 ,使 之 更 能 满足 
rice 部 砚 钦 件 国家 工 加 本 帘 中 心 


政府 .人 个人、 家庭 的 办 公 、 学 习 、 娱乐. 开发 .教育 等 需 
求 。 方 德 果 面 操作 系统 在 软 刹 件 莱 容 性 、 对 国产 软 图 2-25 方 德 操作 系统 
件 的 文 持 以 及 本 地 化 等 方面 进行 了 全 面 优化 和 改 
进 , 以 更 好 地 适应 国内 市 场 需求 。 

9) 新 支点 

中 兴 新 支点 (NewStart) 操 作 系 统 ( 如 图 2-26 所 示 ) 主 要 有 服务 器 操作 系统 、 相 和 人 式 操 
作 系 统 和 桌面 操作 系统 ,也 是 中 国 Linux 开源 软件 技术 水 平 较 高 的 系统 之 一 。 它 支持 绝 
大 多 数 常 用 人 硬件 ,兼容 大 量 的 Windows 平台 软件 ,基于 已 被 开发 者 验证 并 在 关键 系统 已 
得 到 广泛 应 用 的 开源 内 核 。 该 系统 内 置 防火 增 、 多 等 级 权限 控制 等 安全 机 制 ,经 过 严格 测 
试 。 该 系统 支持 国产 CPU ,并 获得 工信部 认证 ,适用 于 个 人 计算 机 ,企业 用 户 和 各 种 定制 
化 终 闪 设备 。 中 兴 新 文 点 服务 天 操作 系统 在 系统 可 徘 性 .性 能 、 安 全 性 、 匈 用 性 .可 用 性 、 
可 管理 性 等 各 方面 进行 了 全 面 优 化 ,不 同 于 普通 的 Linux 操作 系统 ,在 保证 性 能 和 品质 的 
前 提 下 ,对 新 技术 进行 了 谨慎 的 选择 ,使 其 不 仅 具 有 企业 关键 应 用 所 必须 具备 的 高 端 性 
能 ,同时 还 满足 电信 级 操作 系统 所 要 求 的 高 可 徘 性 。 

10) 和 信 

和 信 (VESYSTEM) 通 用 桌面 操作 系统 (如 图 2-27 所 示 ) 是 一 款 面 回 桌 面 应 用 的 操作 
系统 ,针对 多 硬件 平台 开发 。 支 持 x86/x86-64 平台 。 和 信 通 用 桌面 操作 系统 除了 提供 性 
能 优越 的 操作 系统 基础 功能 外 ,还 提供 大 量 简 洁 易 用 的 昌 面 应 用 程序 ,用 户 无 须 额外 的 学 
习 即 可 直接 使 用 .。 


VESYSTEM 
和 信 创 天 


图 2-26 ”中 兴 新 支点 操作 系统 图 2-27 和信 操作 系统 


2.2.2 ”用户 与 文件 管理 


以 Linux、MacOS、BSD、System V 等 为 代表 的 类 UNIX 操作 系统 家 族 不 断 发 展 壮 

大 ,在 计算 机 操作 系统 中 起 看 非常 重要 的 作用 。 本 市 以 Linux 为 例 , 概 要 介绍 此 类 操作 系 
统 的 工作 机 制 。 更 详尽 的 内 容 可 参考 相关 的 操作 系统 书籍 学 习 。 

Linux 的 设计 目标 是 实现 能 够 同时 处 理 多 进程 和 多 用 户 的 交互 式 系 统 。Linux 系统 

由 硬件 .Linux 内 核 .C 标准 库 、 底 层 系 统 组 件 和 用 户 应 用 5 个 部 分 组 成 。 最 底层 的 是 人 蚀 

件 设备 ,包括 CPU 、 内 存 、 便 盘 、 键 盘 以 及 其 他 设备 。 在 便 件 之 上 是 内 核 模式 ,其 中 主要 是 

Linux 内 核 ,负责 进程 调度 ,内存 管 理 .控制 便 件 ,并 且 为 其 他 程序 提供 系统 调用 接口 ,这 
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些 系 统 调 用 允许 用 户 程序 创立 并 管理 进程 .文件 以 及 其 他 资源 。 在 内 核 模 式 之 上 是 用 户 
模式 ,包含 C 标准 库 、 底 层 系统 组 件 和 用 户 应 用 。Linux 系统 层次 结构 如 图 2-28 所 示 。 
用 户 应 用 《六 览 荆 、 办 公 秩 件 等 ) 
用 户 模式 4 的 层 系统 组 件 (系统 守护 进程 、 视 窗 系统 、 其 他 库 、 图 形 系统 等 ) 
C 标 准 库 (Open() 、exec() 、fopen(0)、calloc0 等 约 2000 个 子 程序 ) 


Linux 内 核 系 统 调用 接口 〈 约 380 个 系统 调用 接口 ) 

进程 调度 、 内 存 管 理 、 虚 拟 文件 、 网 络 、IPC 等 

其 他 组 件 (设备 映 时 器、Linux 网 络 调 度 、NetFilter 等 ) 
Linux 安 全 模块 (SELinux、TOMOYO、AppArmor、Smack 等 ) 


硬件 (CPU、 内 存 、 磁盘 、 网 卡 等 ) 
图 2-28 Linux 系统 层次 结构 


Linux 系 统 
内 核 模式 一 Linux 内 核 


1. 用 户 与 用 记 组 

在 Linux 系统 中 ,用 户 标 识 号 (User Identification,UID) 有 具有 唯一 性 ,因此 通过 用 户 
的 UID 值 可 以 判断 用 户 身份 。 在 Linux 系统 中 ,用 户 身 份 主要 有 以 下 几 种 : 

(1) 系统 管理 员 (UID 为 0)。 如 果 和 硕 望 设 置 某 用 户 账号 为 系统 管理 员 , 可 以 将 其 
UID 设置 为 0, 这 意味 着 并 不 是 只 有 root 是 系统 管理 员 。 通 币 不 建议 系统 有 多 个 账号 的 
UID 是 0。 

(2) 系统 用 户 (UID 为 1 一 499) 。 保 留 给 系统 服务 程序 使 用 ,主要 用 于 限制 系统 司 动 
的 服务 以 较 小 的 权限 运行 ,避免 使 用 root 账户 运行 ,避免 服务 程序 被 亚 意 利用 。 其 中 1 一 
99 由 系统 静态 分 配 ,100 一 499 用 于 动态 分 配 。 如 果 有 系统 账号 需求 时 ,可 以 使 用 该 段 内 
的 UID。 

(3) 普通 用 户 (UID 为 500 一 65535)。 日 常 工 作用 户 使 用 。 在 Linux 内 核 2.4 版 以 
后 ,已 经 可 以 支持 32 位 的 UID, 即 允许 4 294 967 296(22 ) 个 用 户 。 

需要 注意 的 是 ,不 同 的 类 Unix 操作 系统 ,其 UID 的 划分 范围 可 能 不 同 。 例 如 ,在 
RedHat Enterprise 7 中 ,普通 用 户 的 UID 是 从 1000 开始 分 配 的 。 

Linux 系统 为 了 方便 管理 属于 同一 组 的 用 户 , 使 用 了 用 户 组 的 概念 。 通 过 用 户 组 标 
识 号 (Group Identification,GID) 将 多 个 用 户 放 入 同一 个 组 中 ,以 方便 为 组 中 的 用 户 统 一 
规划 权限 或 指定 任务 。 

在 Linux 系统 中 创建 用 户 时 ,会 同时 创建 一 个 与 其 同名 的 默认 用 户 组 (也 可 称 为 初始 
用 户 组 ), 晶 此 默认 用 户 组 中 只 包含 该 用 户 一 个 成 员 。 如 果 该 用 户 以 后 归 入 其 他 用 户 组 ， 
则 这 些 用 户 组 称 为 扩展 用 户 组 。 一 个 用 户 只 有 一 个 默认 用 户 组 ,但 是 可 以 有 多 个 扩展 用 
户 组 。 通 和 常 默认 用 户 组 是 该 用 户 的 有 效用 户 组 ,有 效用 户 组 可 以 通过 newgrp 命令 进行 
切换 。 可 以 通过 /etc/passwd 文件 查看 相关 的 用 户 和 组 的 信息 ,如 图 2-29 所 示 。 其 格式 
如 下 : 


用 户 和 名 :口令 :用 户 标识 号 :用 户 组 标识 号 :描述 信息 :用 户主 目录 :登录 时 启动 的 程序 


各 部 分 合 义 如 下 : 
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root:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:Abin:Ashbinnologin 
daemon:x:2:2:daemon:/sbin:/sbinnologin 
adm:x:3:4:adm: varAadm: /sbinAnologin 

Ee A a im 
syUnc:x:5:0:suync:/sbin:/bin/sync 

shutdoum :X:b: 日 :Shutdown: sbinm: sbin shutdowm 
halt:x:?:d:halt:/sbin:/sbinhalt 
mil:x:B:1l2:mil:/var/spool/mil:/sbhinnolodgin 
operator:x:11:6:operator:/root:./sbhinnologin 
James:Xx:12z:1090:games:“usryames: a 
ftp:x:14:50:FTP User:/var/ftp:/shbinnologin 
nobody:x:99:99:Nobody:/ :Asbinnologin 
avahi-autoipd:x:17?790:170:Avahi IPvALL Stack:/var/ 
syUstemd-bus-proxy:x:999:997:systemd Bus Proxy:/: 
syUstemd-network:x:998:996 :systemd Network Manage 
dbus:x:81:81:3ystem message bus:/:Asbinnologin 
polkitd:x:997:995 :User for polkitd:/ :sbinnolog 
tss:x:59:59:Account used by the trousers package 
postf ix:x:89:893: :var/spool/postf ix:/sbinnologir 
sshd:x:?4:74:Privilege-separated ssH:/var/empty 


图 2-29 ”passwd 文件 内 容 示例 


(1) 用 户 名 : 用 户 登 录 操 作 系 统 时 使 用 的 用 户 和 名 ,必须 是 唯一 的 。 

(2) 口令 : 该 字段 通 第 设置 为 x( 或 * 等 ), 实 际 密码 信息 存储 在 单独 的 shadow 密码 
文件 中 。 在 Linux 系统 中 ,将 此 字段 设置 为 星 号 (* ) 是 禁用 直接 登录 账户 的 同时 仍 保留 
其 名 称 的 常用 方法 ;而 另 一 个 可 能 的 值 是 * NP * ,表示 使 用 NIS 服务 器 获取 密码 。 如 果 
没有 shadow 密码 文件 ,该 字段 通常 包含 用 户 密 人 码 的 加 密 哈 希 值 (与 盐 值 组 合 )。 

(3) 用 户 标 识 号 ; 不 一 定 是 唯一 的 。 

(4) 用 户 组 标识 号 : 用 于 标识 用 户 的 默认 用 户 组 。 

(5) 描述 信息 : 用 于 描述 用 户 或 账户 。 通 常 ,这 是 一 组 以 逗号 分 隔 的 值 ,包括 用 户 的 
全 名 等 详细 信息 。 

(6) 用 户主 目录 : 即 用 户 登 录 后 的 起 始 目录 (也 可 称 为 工作 目录 ) 的 路 径 , 例 如 ,root 
用 户 默 认 的 工作 目录 是 /root。 

(7) 登录 时 局 动 的 程序 : 每 次 用 户 登 录 系 统 时 局 动 的 程 夺 。 对 于 交互 式 用 户 , 通 营 
是 系统 的 命令 行 (shell) 命 令 之 一 。 


2. Linux 文件 权限 

在 Linux 系统 中 ,一 切 都 被 视 为 文件 ,包括 设备 、 数 据 通 信 接 口 等 ,都 用 文件 来 表示 ， 
此 Linux 系统 使 用 不 同 的 字符 符号 和 数字 符号 对 各 种 文件 加 以 区 分 。 第 见 的 文件 表示 
符号 如 表 2-14 所 示 。 

在 Linux 系统 中 ,每 个 文件 都 有 文件 所 有 者 .用 户 组 和 其 他 人 3 个 属性 ,用 于 规定 文 
件 所 有 者 、 用 户 组 以 及 其 他 人 对 文件 的 可 读 (r)、 可 写 (w)、 可 执行 (x) 等 权限 。 对 于 一 般 
文件 而 言 ,权限 比较 容易 理解 :“ 可 读 ” 表 示 能 够 读 取 文件 的 内 容 ,“ 可 写 ” 表 示 能 够 新 增 、 
删除 、 修 改 文件 的 内 容 ,“ 可 执行 ” 则 表示 能 够 运行 脚本 程序 。 对 于 目录 文件 而 言 ,“ 可 读 ” 
表示 能 够 读 取 日 录 结 构 列 表 ,“ 可 写 ” 表 示 能 够 更 改 目 录 结 构 列 表 , 包 括 新 建 \, 删 除 、 重 命 
名 、 转 移 该 目录 内 的 文件 和 子 目 录 ,“ 可 执行 ”表示 能 够 进入 该 日 录 并 将 其 设置 为 工作 日 
录 , 例 如 ,用 户 登 录 Linux 后 了 所 在 的 当前 日 录 了 就 是 工作 目录 ， 
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表 2-14 文件 表示 符号 
详细 介绍 


常见 类 型 的 文件 ,主要 有 纯 文 本 文件 (ASCID 二进制 文件 (Binary) 和 数 
据 格 式 文 件 (Data) 


d = 


b 块 设备 文件 用 于 存储 数据 , 回 系 统 提 供 随 机 访问 接口 的 设备 ,例如 人 硬盘 等 
< | 字符 设备 文件 | 表示 一 些 品行 接口 设备 ,例如 键盘 .鼠标 等 


: 数据 接口 文件 ,通常 用 于 网 络 上 的 数据 连接 


是 一 种 特殊 的 文件 类 型 ,主要 用 于 解决 多 个 程序 同时 访问 一 个 文件 造成 
的 错误 问题 


文件 的 读 、 写 .执行 权限 用 字符 表示 为 rwx, 也 可 以 用 3 位 二 进 制 数字 表示 ,r、 wx 分 


别 对 应 数字 4、2、1, 即 . 


。 该 权限 位 代表 数值 4( 二 进 制 100) 。 

。 写 权 限 位 代表 数值 2( 二 进 制 010) 。 

。 执行 权限 位 代表 数值 1( 二 进 制 001) 。 

文件 权限 的 数字 法 表示 是 由 字符 表示 (rwx) 的 权限 值 相 加 而 来 的 ,其 目的 是 简化 权 


限 的 表示 。 例 如 , 厂 某 个 文件 的 权限 为 7, 则 代表 可 读 、 可 写 、 可 执行 (4 十 2 十 1, 其 二 进 制 
形式 为 111) ; 若 权 限 为 6, 则 代表 可 读 、 可 写 (4 十 2, 其 二 进 制 形式 为 110)。 以 某 文件 为 


例 ,其 所 有 者 拥有 可 读 、 可 写 、 可 执行 的 权限 ,其 用 户 组 振 


有 可 读 、 可 写 、 可 执行 的 权限 ,其 


他 人 没有 权限 ,那么 ,这 个 文件 的 权限 就 是 -rwxrwx 一 ,用 数字 法 表示 即 为 0770。 图 2-30 
是 用 字符 表示 法 给 出 的 根 目录 中 各 目录 的 权限 和 所 属 组 的 示例 。 


| 


1 root root 403b Jun 
1 root root 4H936 Jun a 

root root + 可 um 

xm 一 xn 一 区 ， 3 Foot root 1uzc4 Jum 
< — x -Hroot root 了 lb Jun a 
J<r—xrT—x,. 4 root root Bl Jun et 

xT root root b Aug 


图 2-30 录 权 限 示例 


在 数字 表示 法 中 ,如 果 是 4 位 数字 , 即 最 左边 (最 高 位 ) 数 字 有 值 , 则 表示 有 3 个 附加 


属性 , 即 SUID 位 .SGID 位 和 SBITI 人 位。 这 是 因为 在 实际 使 用 中 ,单纯 设置 文件 的 rwx 权 
限 无 法 满足 复杂 多 变 的 使 用 场景 对 安全 性 和 灵活 性 的 需求 ,因此 便 有 了 SUID、SGID 与 
SBIT 这 3 个 特殊 权限 位 。 它 们 可 以 对 文件 权限 进行 特殊 设置 , 旦 可 以 与 一 般 权 限 同 时 使 
用 ,以 弥补 一 般 权 限 不 能 实现 的 功能 。 
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1) SUID 

SUID 即 SetUID, 是 仅 对 二 进 制 程序 有 效 的 特殊 权限 位 。SUID 可 以 让 执行 者 临时 
拥有 文件 所 有 者 的 权限 (该 权限 仅 在 执行 该 程序 的 过 程 中 有 将 )。 例 如 ,用 户 执 行 passwd 
命令 修改 目 己 的 用 户口 令 ,而 用 户口 令 保存 在 /etc/shadow 文件 中 。 以 CentOS 7 操作 系 
统 为 例 ,该 文件 的 默认 权限 如 图 2-31 所 示 , 可 见 仅 有 root 可 以 查看 、 修 改 该 文件 。 


因为 普通 用 户 有 执行 passwd 命令 的 权限 ,在 执行 passwd 命令 时 加 上 SUID 特殊 权 
限 位 ,可 以 让 普通 用 户 临 时 获得 root 的 身份 ,将 变更 的 密码 信息 写 人 shadow 文件 中 。 所 
以 ,这 只 是 一 种 有 条 件 的 .临时 的 特殊 授权 方法 。 

SUID 的 字符 表示 为 s, 其 数字 表示 为 4。 

2) SGID 

SGID 即 SetGID ,是 用 户 组 的 特殊 权限 位 。SUID 可 以 让 程序 执行 者 在 执行 过 程 中 
临时 获得 该 程序 用 户 组 权限 。SGID 有 如 下 功能 : 

(1) 用 户 如 果 对 于 该 目录 拥有 fr 和 x 权限 ,就 能 够 进 和 人 该 日 录 ， 

(2) 用 户 在 该 目录 下 的 有 效用 户 组 会 成 为 该 目录 的 用 户 组 。 

(3) 如 果 用 户 在 该 目录 具有 w 权限 , 则 在 目录 中 创建 的 新 文件 自动 继承 该 目录 的 用 
户 组 。 

在 实际 应 用 中 ,SGID 对 于 组 织 机 构 内 的 文件 使 用 是 很 有 帮助 的 。 例 如 ,市场 部 拥有 
名 为 区域” 的 目录 ,并 设置 了 SGID, 该 目录 的 用 户 组 为 “销售 人 员 ”。 用 户 sales 的 默认 
用 户 组 是 sales, 其 他 用 户 组 是 “销售 人 员 ”。 用 户 sales 在 "区域 ?" 目 录 中 创建 了 一 个 名 为 
“华北 ”的 目录 , 则 “华北 ”目录 的 用 户 组 就 继承 了 “销售 人 人员” 用户 组 ,在 其 中 创建 的 文件 也 
是 如 此 。 如 果 没 有 设置 SGID, 则 新 目录 和 目录 中 的 文件 的 用 户 组 为 sales, 因 为 sales 是 
用 户 sales 的 默认 用 户 组 。 

SGID 的 字符 表示 也 是 s, 其 数字 表示 为 2。 

3) SBIT 

SBIT 即 Sticky Bit, 是 用 于 设置 只 有 文件 所 有 者 、 目 录 所 有 者 或 root 用 户 才能 重 命 
名 或 删除 该 文件 的 特殊 权限 位 。 如 果 没 有 设置 SBIT, 任 何 具 有 该 日 录 的 写 入 和 执行 权限 
的 用 户 都 可 以 重 命名 或 删除 目录 中 包含 的 文件 。 通 常 ,在 /tmop 目录 中 设置 SBIT, 以 防止 
普通 用 户 删 除 或 移动 其 他 用 户 的 文件 。 

在 HP-UX 和 UnixWare 中 ,SBIT 对 目录 和 文件 都 有 效 ; 但 在 Linux 中 ,SBIT 仅 对 
目录 有 效 ,其 作用 如 下 : 

(1) 用 户 对 该 日 录 拥 有 w 和 x 权限。 

(2) 用 户 在 该 目录 下 创建 目录 或 文件 时 , 仅 该 用 户 和 root 能 删除 该 文件 。 

举例 说 明 ,市 场 部 拥有 名 为 “区域 ?的 目录 ,并 设置 了 SBIT, 该 目录 的 用 户 组 为 "销售 
人 员 ”, 用 户 为 sales。 用 户 sales 在 “区 域 ? 目 录 中 创建 了 一 个 名 为 “华北 ”的 目录 。“ 销 售 

于 
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. 员 ? 用 户 组 中 的 其 他 用 户 试 图 删除 "华北 ”目录 是 无 法 实现 的 , 仅 有 sales 和 root 可 以 对 
其 进行 删除 、 重 命名 、 移 动 等 操作 ;同样 ,sales 对 其 他 用 户 创 建 的 目录 和 文件 也 是 无 法 进 
行 上 述 操作 的 。 文 件 和 目录 只 有 其 所 有 者 才 有 权力 操作 。 

SBIT 的 字符 表示 为 t, 数 字 表 示 为 1。 

如 果 文 件 或 日 录 的 执行 位 为 空 ( 即 -), 例 如 , 某 文件 权限 为 -rw-rw-rw-, 则 SUID、 
SGID、SBIT 用 大 写字 母 表示 ,其 字符 表示 为 -rwSrwSrwT, 相 应 的 数字 表示 为 7666。 

Linux 系统 中 的 文件 除了 具备 一 般 权 限 和 特殊 权限 之 外 ,还 有 一 种 被 隐 沽 起 来 的 权 
限 ,默认 情况 下 用 户 不 能 直接 查看 ,需要 通过 相关 命令 查看 (lsattr 命令 ) 和 修改 (chattr 命 
令 )。 表 2-15 列 出 了 部 分 隐藏 权限 。 


表 2-15 隐藏 权限 
权限 作 用 
A | 不 再 修改 这 个 文件 或 目录 的 最 后 访问 时 间 (Catime) ,可 以 减少 一 些 磁盘 1/O 操作 
a | 仅 人 允许 以 附加 模式 打开 并 写 人 人 内容, 无 法 覆盖 或 删除 原 有 内 容 
c | 默认 由 内 核 目 动 压缩 文件 或 目录 , 读 取 时 上 自动 解压 缩 
D | 同步 目录 更 新 ,在 修改 目录 时 ,在 磁盘 上 同步 写 和 人 修改 
d | 使 用 dump 命令 时 忽略 本 文件 /目录 


变 参 数 , 即 无 法 对 文件 进行 修改 ;设置 后 ,无 法 删除 、 重 命名 文件 ,无 法 为 文件 创建 链接 ,也 
tp 即使 是 超级 用 户 也 不 能 擦 除 或 更 改 文件 的 内 容 


S | 文件 内 容 在 修改 后 ,在 硬盘 上 同步 写 人 修改 
s 当 文 件 被 删除 时 ,会 彻底 从 硬盘 中 删除 , 且 不 可 恢复 (用 0 填充 文件 所 在 磁盘 空间 ) 
u | 当 文 件 被 删除 后 ,数据 依然 保留 在 硬盘 中 ,可 以 找 回 文件 


上 面 介 绍 的 一 般 权 限 、 特殊 权 限 . 隐 疾 权限 具备 一 个 共性 : 权限 是 针对 菏 一 类 用 户 设 
置 的 ,不 能 对 单个 用 户 或 用 户 组 的 权限 设置 特定 的 权限 要 求 。Linux 通过 访问 控制 列表 
(ACL) 对 菏 个 用 户 、 某 个 文件 、 菏 个 目录 进行 权限 设置 。 

ACL 需要 文件 系统 的 支持 (如 EXT2/3、JFS、XFS、ReiserFS)。Linux 默认 的 EXT 
文件 系统 文 持 ACL 功能 。 基 于 普通 文件 或 目录 设置 ACL ,就 是 针对 菏 个 用 户 或 用 户 组 
设置 文件 或 目录 的 相关 权限 ;针对 某 个 目录 设置 的 ACL 会 被 该 日 录 中 的 文件 继承 ;如 果 
对 菏 个 文件 设置 了 ACL, 则 该 文件 不 再 继承 其 所 在 目录 的 ACL。 

可 以 通过 ls 命令 查看 文件 权限 最 后 的 ".” 状 态 , 以 确定 文件 是 否 设 置 了 ACL ,如果 文 
件 设置 了 ACL, 则 文件 权限 最 后 的 %。” 变 为 “十 ”。 通 过 getfacl 命令 可 以 获取 某 个 文件 
或 目录 的 ACL 设置 项 。 如 果 需 要 设置 ACL 规则 , 则 通过 setfacl 命令 进行 。 使 用 ACL 
后 ,mask 用 来 指定 最 大 有 效 权 限 , 默 认 权 限 是 rwx。 设 置 的 ACL 权限 与 mask 的 权限 相 
与 后 的 权限 是 真正 的 权限 。 例 如 ,mask 权限 是 r-x, 通 过 setfacl 设置 的 权限 值 是 rwx, 二 
者 相 与 后 得 到 的 结果 是 r-x, 所 以 真正 的 权限 是 r-x, 并 不 是 通过 setfacl 设置 的 rwx。 通 第 
不 需要 更 改 mask 值 。 
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3. Linux 目录 配置 

1) 目录 

大 多 数 Linux 系统 都 间 循 FHS(Filesystem Hierarchy Standard ,文件 系统 层次 标 
准 ), 它 是 Linux 标准 基础 (Linux Standard Base,LSB) 中 的 一 个 标准 。FHS 规定 了 每 个 
特定 的 目录 中 应 存放 什么 数据 ,有 助 于 软件 开发 商 、 使 用 者 .维护 人 员 了 解 相关 的 文件 . 数 
据 如 何 分 布 。 在 FHS 中 ,所 有 文件 和 目录 都 显示 在 根 目 录 (/) 下 (即使 它们 存储 在 不 同 的 
物理 设备 或 虚拟 设备 上 )。 在 文件 之 间 通 常 定 义 两 个 相对 的 属性 : 可 共 吾 与 不 可 共享 , 毅 
人 态 与 可 变 。 一 般 来 说 ,属性 不 同 的 文件 应 该 位 于 不 同 的 目录 中 。 这 使 得 在 不 同 的 文件 系 
统 中 存储 具有 不 同 使 用 特性 的 文件 变 得 容易 。FHS 3.0 标准 目录 示例 如 表 2-16 所 示 。 


表 2-16 FHS 3.0 标准 目录 示例 


属 性 可 共享 (shareable) 不 可 共享 (unshareable) 
静态 (static) 
可 变 (Cvariable) 


/var/ spool/ news /var/ lock 


可 共享 文件 是 可 以 存储 在 一 个 主机 上 并 可 在 其 他 主机 上 使 用 的 文件 。 例 如 ,用 户主 
目录 中 的 文件 是 可 共 至 的 ,而 与 本 机 人 硬件 设备 关联 的 文件 则 是 不 可 共 至 的 。 

静态 文件 包括 二 进 制 文件 、. 库 .文档 文件 以 及 在 没有 系统 管理 员 干 预 的 情况 下 不 会 更 
改 的 其 他 文件 。 可 变 文 件 是 非 静态 文件 ,例如 新 闻 组 .邮件 等 。 

在 FHS 3.0 标准 中 , 仅 指 出 了 /( 根 日 录 )、/usr、/var 这 3 个 日 录 的 明确 结构 ,其 他 日 
录 结 构 可 由 软件 开发 商 、 操 作 系 统 设计 人 员 日 行 配置 。 

/( 根 目录 ) 是 Linux 系统 最 重要 的 上 日 录 。 根 日 录 的 内 容 必 须 足 以 引导 ,恢复 和 修复 系 
统 。 要 引导 系统 , 根 目 录 中 必须 存在 提供 文 撑 的 软件 和 数据 ,包含 许多 特定 于 系统 的 配置 
文件 ,才能 安 疤 其 他 的 文件 系统 ;要 司 用 系统 的 恢复 和 修复 ,必须 在 根 目 录 中 提供 诊断 和 
重建 受 损 系 统 所 需 的 实用 程序 ;要 还 原 系 统 , 必 须 在 根 目 录 中 存在 从 备份 (例如 光盘 、 磁 带 
等 ) 还 原 系统 所 需 的 实用 程序 。 

由 于 根 目 录 数 据 被 破坏 造成 的 影响 要 比 任何 其 他 目录 更 严重 ,因此 ,应 避免 根 上 日 录 过 
于 庞大 。 这 样 , 即 使 系统 月 溃 ,也 不 易 对 小 型 的 根 目 录 造 成 影响 。 如 果 出 现 问题 ,在 处 理 
FHS 标准 建议 根 目录 所 在 分 区 尽 可 能 小 (但 不 能 过 小 ) , 且 安 装 的 应 用 程序 软件 不 要 与 根 
目录 放 在 同一 个 分 区 内 ,使 根 目录 分 区 保持 简洁 ,规避 路 磁盘 卷 引发 的 问题 。 

FHS 3.0 标准 的 根 目录 结构 如 表 2-17 所 示 。 

/usr 是 文件 系统 的 第 二 个 重要 目录 ,usr 是 UNIX software resource 的 缩写 ,存放 的 
是 可 共有 至 的 只 读数 据 , 即 系统 默认 的 软件 ,类 似 于 Windows 系统 中 的 C:\Windows 和 
C:\Program Files 的 合体 。 这 意味 着 /usr 可 以 在 各 种 符合 FHS 标准 的 主机 之 间 共 享 
(不 可 写 入 )。 安 疙 软件 不 得 在 /usr 目录 中 创建 该 软件 目 己 独立 的 目录 ,而 应 合理 地 放置 
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在 一 个 统一 存放 安 闻 软 件 的 子 目录 中 ,此 子 目 录 会 随 春 安 闻 软件 的 增多 而 逐 潮 增 大 。 


目录 


/bin 


/boot 


/dev 


/etc 


/lib 


/media 
/mnt 


/opt 


/run 


/sbin 


/srv 


/tmp 


/usr 


/var 


表 2-17 FHS 3.0 标准 的 根 目录 结 构 
文件 内 容 


存放 基本 二 进 制 命令 , 即 系统 管理 员 和 用 户 可 以 使 用 的 命令 ,包括 cat、 chgrp、chmod、 
chown cp kill .mkdir 等 


包含 引导 所 需 的 静态 文件 ,但 引导 时 不 需要 的 配置 文件 和 映射 安装 程序 除外 。 还 存放 内 
ER 区 和 扇 区 区 映射 文件 


设备 和 接口 设备 以 文件 的 形式 存在 于 该 目录 中 ,访问 该 目录 下 的 某 个 文件 ,相当 于 访问 
eg 


存放 系统 主要 的 配置 文件 ,例如 各 种 服务 的 起 始 文件 .用户 的 账号 口令 文件 等 。 要 求 不 
能 包含 二 进 制 可 执行 文件 (binary) ,通常 要 求 包含 opt 目录 (/etc/opt), 男 外 xll、sgml、 
xml 这 3 个 目录 是 可 选 的 


a ate I 和 /sbin 下 命令 要 调用 的 图 数 ,例如 动态 链接 库 或 


可 移 除 设备 的 挂 载 点 ,例如 光盘 驱动 器 .ZIP 驱动 器 等 设备 
临时 安装 的 文件 系统 的 挂 载 点 ,例如 移动 便 盘 等 设备 
附加 应 用 程序 软件 方式 目录 ,例如 KDE 桌面 管理 系统 等 


与 运行 流程 相关 的 数据 ,描述 系统 自 上 次 引导 以 来 的 系统 信息 数据 。 必 须 在 引导 过 程 开 
始 时 清除 此 目录 下 的 文件 

存放 基本 的 系统 二 进 制 文件 。 系 统管 理 的 (包括 其 他 只 能 由 root 用 户 执 行 的 命令 ) 程 序 
通常 存储 在 /sbin、/usr/sbin 和 /usr/local/sbin 中 。/sbin 存放 除了 /bin 目录 中 的 二 进 制 
文件 之 外 引导 恢复、 修复 系统 所 必需 的 二 进 制 文 件 。 通 第 将 安装 后 的 执行 程序 放 人 / 
usr/sbin 目录 。 本 地 安装 的 系统 管理 程序 应 放置 在 /usr/local/ sbin 目录 中 
存放 系统 提供 的 服务 (例如 ,WWW .FTP 服务 等 ) 需 要 使 用 的 数据 


存放 临时 文件 ,供需 要 临时 文件 的 程序 使 用 。 这 个 目录 征 任 何 用 户 剖 可 以 访问 的 ， 因此 
不 能 存放 重要 数据 ,FHS 建议 开机 时 将 该 目录 中 的 内 容 清 空 


通常 包含 最 少 二 级 层次 结构 ,存放 的 数据 属于 可 共享 的 和 静态 的 文件 内 容 。 系 统 上 默认 的 
软件 都 会 放置 在 该 日 录 中 ,其 作用 类 似 于 Windows 操作 系统 的 Windows 和 Program 
Files 日 录 。 通常 包含 bin,include.,lib,libexec,local,sbin,share 等 目录 


主要 存放 可 变 的 数据 文件 ,包括 缓存 .管理 和 日 志 记 录 数 据 以 及 临时 文件 等 。 通 常 包含 


account ,cache ,crash ,games ,lib lock log ,mail opt.run、spool tmp 等 目录 


be 包括 假 脱 机 (低速 输入 输出 设备 与 主机 交换 信息 的 一 种 技 
术 ) 目 录 和 文件 ,以 及 管理 .日 志 的 相关 数据 ,临时 文件 等 。 该 目录 中 的 某 些 部 分 在 不 同系 


统 之 间 是 不 可 共 


至 的 , 例 ed 和 /var/run; 男 一 些 目 录 是 可 以 共享 的 , 例 


0/var/ mail /var/cache/man,/var/cache/fonts 和 /var/spool/news.。 
2) 绝对 路 径 与 相对 路 径 
路 径 指 的 是 定位 到 革 个 文件 的 表示 方法 ,可 分 为 绝对 路 径 和 相对 路 径 。 
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绝对 路 径 是 由 根 目 录 开 始 表 示 文 件 或 目录 名 称 的 方法 ,例如 ,/dev/hdal 。 

相对 路 径 是 从 当前 目录 开始 表示 文件 或 目录 名 称 的 方法 ,例如 ,./homeyany 或 ../../ 
homey/ any。 

二 者 很 明显 的 区 别 就 在 于 是 否 以 /开头 。 关 于 路 径 的 操作 ,需要 注意 .和 .. 的 区 别 , 在 
实际 应 用 中 ,经 常会 用 到 这 两 种 路 径 表 示 方 法 。 

.表示 当前 目录 ,也 可 以 表示 为 ./。 

.. 表 示 上 一 级 目录 ,也 可 以 表示 为 ../。 

Linux 的 各 类 发 行 版 本 只 将 FHS 标准 作为 参考 ,在 某 些 方面 会 齐 循 上 月 定义 的 规则 。 
例如 ,GoboLinux 和 NixOS 就 没有 遵循 FHS 标准 ,一 些 Linux 发 行 版 也 不 区 分 /bin 与 / 
usr/bin 目录 。 


2.2.3 磁盘 管理 


Linux 发 布 之 初 采 用 的 是 EXT( 意 为 Extended) 格式 的 文件 系统 ,随后 发 布 了 
EXT2、EXT3、EXT4 等 版 本 。 各 版 本 的 情况 如 表 2-18 所 示 。 
表 2-18 Linux 文件 系统 各 版 本 的 情况 


表 中 各 参数 根据 Linux 系统 的 不 同 版 本 . 块 大 小 定义 而 有 所 差异 。 


在 Linux 系统 中 ,硬件 设备 都 是 以 文件 的 方式 展现 的 ,是 设备 驱动 程序 的 接口 。 
Linux 系统 内 核 中 的 设备 省 理 带 udev 主要 管理 /dev 目录 中 的 设备 万 上 点 ,处 理 将 硬件 设备 
添加 到 系统 或 从 系统 中 删除 时 引发 的 所 有 用 户 空 间 事件 ,并 目 动 规范 便 件 名 称 。 用 户 可 
以 通过 设备 文件 名 称 了 解 设备 基本 属性 、 分 区 信息 等 。Linux 系统 中 常见 设备 的 文件 名 
称 ,如 表 2-19 所 示 。 


表 2-19 Linux 常见 设备 文件 名 称 


硬件 设备 文件 名 称 

IDE 存储 设备 /dev/hd| a-d || 1-63 | 
SCSI/SATA /USB 人 硬盘/U 盘 /dev/ sdla-pj [1-15 | 
软驱 /dev/{d| 0-1 | 

, 25 | : /dev/lplL0-2 | 
打印 机 USB: /dev/usb/lp| 0-15 | 
论 驱 /dev/cdrom 
鼠标 /dev/mouse 
磁带 机 SCSI: /dev/st0 


IDE. /dev/htO0 
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Linux 系统 采用 a 一 p 来 代表 16 块 不 同 的 人 硬盘 ,默认 从 a 开始 分 配 , 由 系统 内 核 的 识 
别 顺序 来 决定 便 盘 的 名 称 。 后 面 的 数字 表示 人 硬盘 的 分 区 号 ,人 硬盘 主 分 区 或 扩展 分 区 最 多 
只 能 有 4 个 ,编号 为 1 一 4, 其 中 扩展 分 区 只 能 有 1 个。 逻辑 分 区 从 编号 5 开始 ,最 多 到 
63 ,分 区 的 数字 可 以 人 为 指定 ,因此 编号 值 并 不 代表 设备 中 分 区 的 数量 ,在 实际 应 用 中 需 
要 注意 这 一 点 。 

Linux 操作 系统 支持 RAID 和 LVM(Logical Volume Manager ,逻辑 卷 管 理 需 ) 技 
术 。Linux 对 RAID 技术 的 运用 与 Windows 操作 系统 相同 ,可 参考 相关 章节 和 有 关 技 术 
书籍 学 习 。LVM 是 一 个 设备 映射 器 , 它 为 Linux 内 核 提供 逻辑 卷 管理 。LVM 可 以 将 多 
个 磁盘 的 多 个 物理 分 区 整合 在 一 起 ,使 这 些 分 区 看 起 来 是 一 个 分 区 。 例 如 ,管理 员 可 以 将 
硅 干 个 磁盘 分 区 连接 为 1 个 卷 组 (volume group), 在 卷 组 上 再 创建 逻辑 卷 (logical 
volumes) ,继而 在 逻辑 卷 上 创建 文件 系统 。 其 重要 特点 是 : 通过 LVM 可 以 动态 调整 卷 
组 的 大 小 ,并 且 可 以 生成 磁盘 快照 。LVM 的 其 他 特性 包括 允许 添加 和 更 换 磁 盘 和 文 持 
热 插 拔 ,LVM 还 可 用 于 高 可 用 性 的 场合 中 。 


2.24 内 存 管理 


内 存 管理 是 Linux 内 核 最 复 森 的 部 分 ,系统 的 性 能 取决 于 如 何 有 效 地 利用 内 存 。 在 
32 位 系统 中 ,内 存 被 限制 为 4GB; 在 64 位 系统 中 ,内 存 容量 同样 受到 物理 条 件 限 制 。 

为 了 有 效 利 用 有 限 的 物理 内 存 ,Linux 采用 了 虚拟 内 存 的 概念 ,将 磁盘 空间 虚拟 为 多 
辑 内 存 , 而 用 作 虚 拟 内 存 的 磁盘 空间 称 为 葡 换 空间 。 有 些 舌 UNIX 发 行 版 本 (例如 
RedHat) 设 置 一 个 专用 于 交换 的 交换 分 区 ,以 区 别 于 其 他 的 数据 驱动 右 。 专 用 于 交换 的 
硬盘 分 区 称 为 区 换 分 区 ,在 实际 应 用 中 ,有 区 换 分 区 的 大 小 通 委 为 物理 内 存 容 量 的 1.5 一 
2 

当 使 用 旋转 磁 介 质 设备 的 磁盘 时 ,使 用 交换 分 区 的 一 个 好 处 是 : 虚拟 内 存 能 够 分 配 
在 连续 的 人 硬盘 区 域 上 ,以 便 提 供 更 局 数据 杏 吐 量 或 更 快 寻 志 时 间 。 但 是 ,交换 文件 的 管理 
灵活 性 高 于 交换 分 区 。 例 如 ,交换 文件 可 以 放置 在 任何 已 安 汤 的 文件 系统 上 ,可 以 设置 为 
任何 所 需 的 大 小 ,并 可 以 根据 需要 添加 或 更 改 。 而 交换 分 区 如 有 果 不 使 用 分 区 或 卷 管理 工 
具 ,就 无 法 扩展 ,因为 这 会 市 来 各 种 复杂 问题 和 潜在 的 集 机 风险 。 


23 习 赴 


. 进程 例 程 ,作业 之 间 的 关系 是 什么 ? 

. 在 Windows 中 ,虚拟 内 存 的 作用 是 什么 ? 

. Windows 的 特权 级 有 几 种 ? 分 为 哪些 模式 ? 

. 在 Windows 中 ,对 象 和 普通 数据 结构 有 什么 区 别 ? 

. Windows 通过 什么 形式 实现 对 对 象 的 访问 控制 ? 

. 注册 表 主 要 由 哪 几 部 分 组 成 ?” 有 几 种 根 键 ? 分 别 是 什么 ? 

. 在 Windows 服务 应 用 中 ,都 使 用 哪些 账户 实现 相关 的 访问 功能 ? 


> eo ie 壮 


~ 与) 


78 


ES 第 2 和 草 终端 操作 系统 工作 机 制 ED 


8. Windows 基础 设施 (WD 了 D) 使 用 什么 检测 模型 来 检测 诊断 和 解决 常见 的 问题 ? 

9,. Windows 安全 标识 从 (SID) 主 要 由 哪 几 部 分 构成 ? 

10. 在 Windows 的 卷 管理 中 ,磁盘 分 为 哪 两 种 ?两 者 有 什么 区 别 ? 

11. Windows 基本 磁盘 最 多 文 持 几 个 主 分 区 和 扩展 分 区 ? 

12. Windows 动态 磁盘 的 LDM 需要 多 少 空 间 存 储 数据 ? 

13. Windows 磁盘 硬 分 区 和 软 分 区 有 什么 区 别 ? 

14. 在 Linux 系统 中 ,如 果 某 文件 对 象 的 权限 为 -rwx---r--, 请 用 数字 表示 法 写 出 对 应 


15. 在 Linux 系统 中 , 根 目 录 中 默认 的 目录 有 了 哪 几 个 ? 


1 


随 春 互联 网 的 普及 和 新 技术 、 新 业务 的 快速 发 展 与 应 用 , 终 病 作为 信息 系统 中 重要 组 
成 部 分 所 面临 的 安全 问题 日 益 复 洒 。 这 些 安 全 问题 的 来 源 多 种 多 样 , 有 终端 所 处 的 周边 
环境 审 来 的 威胁 ,也 有 终端 目 身 硬件 .软件 的 缺陷 市 来 的 队 患 ,还 包括 终端 所 处 的 网 络 环 
境 市 来 的 网 络 安全 威胁 。 因 此 ,了 解 终 病 面 临 的 安全 威胁 是 十 分 必要 的 。 


“3.1 ”环境 万 面 的 安全 威胁 


3.1.1 自然 灾害 

自然 灾害 是 由 于 自然 因素 造成 的 人 类 生命 .财产 .社会 功能 和 生态 环境 等 受 损 害 的 事 
件 或 现象 .在 由 大 气 圈 、 岩 石 圈 、 水 圈 、 生 物 圈 共 同 组 成 的 地 球 上 ,人 类 生存 的 周边 环境 时 
刻 在 变化 , 当 这 种 变化 给 人 类 社会 带 来 危害 时 ,就 构成 自然 灾害 。 重 大 的 突 发 性 自然 灾害 


包括 导 灾 . 洪 沪 .台风 、 风 姑 滑 、 头 害 ` 掉 灾 ,海员 、 地震 、 火山 滑坡、 泥石流 、 条 林 火 灾 、 农 林 
病虫害 .宇宙 辐射 . 亦 潮 等 。 


中 国 常 见 的 目 然 灾害 种 类 素 多 ,主要 包括 以 下 几 类 : 洪 滨 干旱. 台风 、 冰 多、 又 雪 、 沙 
害 ;: 和 森林 草原 火灾 ;重大 生物 灾害 ;等 等 。 图 3-1 所 示 的 2008 年 在 我 国 南方 发 生 的 冰 灾 就 
是 其 中 一 种 。 


ee | 
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图 3-1 2008 年 发 生 于 我 国 南 方 的 冰 灾 


自然 灾害 的 特点 归结 起 来 主要 表现 在 6 个 方面 : 
(1) 目 然 灾害 具有 广泛 性 与 区 域 性 。 一 方面 ,自然 灾害 的 分 布 范 围 广 。 处 于 自然 环 
境 中 ,无 论 是 海洋 还 是 陆地 ,地 上 还 是 地 下 ,平原 还 是 山地 ,自然 灾害 都 有 可 能 发 生 , 并 不 
以 是 否 有 人 类 活动 为 转移 。 男 一 方面 ,自然 地 理 环 境 的 区 域 性 又 决定 了 自然 灾害 的 区 域 
性 ,例如 ,在 多 山 、 多 雨 的 地 区 容易 发 生 山 洪 滑坡 等 自然 灾害 。 区 域 性 的 气候 也 会 导致 灾 
害 发 生 , 例 如 ,我 国 冬 季 西 北 地 区 多 雪灾 ,夏季 南方 地 区 多 洪水 ， 

(2) 目 然 灾害 具有 频 索 性 和 不 确定 性 。 例 如 ,我 国 华 北 地 区 . 青 泌 高 原 地 区 、 四 川 盆 
地 都 属于 典型 的 地 震 市 ,日 20 世纪 以 来 , 共 发 生 6 级 以 上 地 震 700 余 次 ,地 震 灾 害 频 索 发 
生 。 而 2008 年 在 我 国 南 方 发 生 的 突 发 性 冰冻 天 气 灾 害 在 南方 是 很 罕见 的 卓然 灾害 。 

(3) 目 然 灾害 具有 一 定 的 周期 性 和 不 重复 性 。 主 要 目 然 灾害 中 的 地 震 、 干旱 .洪水 、 

台风 等 灾害 的 发 生 都 呈现 出 一 定 的 周期 性 。 通 常 描述 某 种 自然 灾害 达到 “十 年 一 遇 ? 或 


“百年 一 遇 ” 的 说 法 ,就 是 对 日 然 灾 害 周期 性 的 一 种 通俗 描述 。 从 突 宪 且 不 量 各 佳 主 村 
是 指 灾 害 过 程 、 损 害 绪 采 的 不 重复 性 ,这 主要 因为 卓然 灾害 受 很 多 不 确定 因 系 影响 ,这 些 


因素 所 引发 的 " 巍 蝶 效应 ?是 无 法 重 现 的 。 

(4) 目 然 灾 害 具 有 关联 性 。 日 然 灾害 的 关联 性 表现 在 两 个 方面 。 一 方面 是 区 域 之 间 
具有 关联 性 。 例 如 ,南美 洲 西 海岸 发 生 的 尼 尔 尼 诺 现 象 就 以 一 定 的 概率 表明 全 球 气候 会 
发 生 亲 乱 ;美国 排放 的 污染 物 至 少 有 60% 的 概率 会 在 加 拿 大 境内 形成 酸雨 。 男 一 方面 是 
灾害 之 间 具 有 关联 性 。 也 了 驶 是 说 , 东 些 目 然 灾害 可 以 互 为 条 件 ,形成 灾害 群 或 灾害 链 。 例 
如 ,火山 活动 就 是 一 个 灾害 群 或 灾害 链 ,火山 活动 可 以 导致 地 震 、. 泥 石 流 ` 大气 污 染 , 海 呈 

一 系列 灾害 。 ee 起 作用 的 灾害 称 为 原生 灾害 ,而 由 原生 灾害 所 族 寻 


而 发 生 的 灾害 则 称 为 次 生 灾 害 , 自 然 灾 害 发 生 之 后 产生 的 一 系列 其 他 灾害 泛称 为 衍生 


J 日 然 灾 害 所 造成 的 危害 具有 严重 性 。 例 如 ,全 球 每 年 发 生 可 记录 的 地 震 约 500 
万 次 ,其 中 有 感 地 震 约 5 万 次 ,造成 破坏 的 近 于 次 ,而 里 氏 7 级 以 上 .足以 造成 惨重 损失 的 
强烈 地 震 每 年 约 发 生 15 次 ;干旱 . 洪 沪 两 种 灾害 造成 的 经 济 损失 也 十 分 严重 ,全 球 每 年 因 
此 遭受 的 损失 可 达 数 百 亿 美元 。 

(6) 目 然 灾害 具有 不 可 避免 性 和 可 减轻 性 。 上 有 目 然 灾害 不 可 能 消失 ,是 不 可 避免 的 。 
随 着 科技 的 发 展 , 人 类 可 以 在 越 来 越 广阔 的 范围 内 进行 防 灾 减 灾 , 通 过 采取 避 害 趋 利 、 除 
害 兴 利 .化 害 为 利 、. 害 中 求 利 等 措施 ,最 大 限度 地 减轻 灾害 损失 。 

由 于 信息 系统 的 终端 所 处 的 地 点 不 可 避免 地 处 于 自然 的 大 环境 之 中 ,因此 由 上 自然 环 
境 中 的 自然 灾害 引发 的 安全 威胁 不 可 避免 。 由 于 自然 灾害 的 不 确定 性 ,其 安全 威胁 具有 


低 概率 、 闹 损失 的 特点 , 即 章 受 日 然 灾害 的 概率 通常 很 小 ,但 一 旦 发 生 , 造 成 的 损失 非常 
巨大 。 


3.1.2 运行 环境 中 的 安全 威胁 
终端 运行 环境 中 蕴含 的 安全 威胁 包括 技术 因素 和 人 为 因素 .。 


1. 技术 因素 
终端 运行 环境 中 的 安全 威胁 的 技术 因素 主要 指 由 于 终端 所 处 的 环境 以 及 组 成 终端 的 软 
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人 硬件 引发 的 故 隐 ,或 终 病 周边 的 电子 元 硕 件 因 揣 陷 、 使 用 寿命 等 原因 而 市 来 的 安全 威胁 。 

如 末 一 个 机 房 无 法 实现 对 温度 的 调节 , 终 冯 运行 产生 的 热量 无 法 有 效 排除 , 当 温 度 超 
过 终端 可 以 承受 的 限度 时 , 宕 机 、 蓝 屏 的 风险 就 会 大 大 提高 。 不 当 的 或 者 恶劣 的 使 用 环境 
同样 威胁 看 计算 机 终端 的 物理 安全 。 例 如 ,在 计算 机 终端 中 广泛 使 用 的 机 械 人 硬盘 ,其 读 
取 、 存 储 数据 的 过 程 是 由 一 组 机 械 磁 头 闻 置 谈 取 、 更 改 磁盘 厢 区 上 的 磁极 信息 CN 极 或 S 
极 ) ,磁盘 的 旋转 速度 非常 快 ( 稼 见 的 便 盘 转速 为 5400 转 / 分 .7200 转 / 分 等 ) ,如 有 果 便 盘 在 
渎 写 过 程 中 由 于 某 些 原因 发 生 震动 ,磁头 与 盘面 发 生物 理 接触 ,就 会 引发 磁头 和 磁盘 的 物 
理 损伤 ,从 而 导致 硬盘 出 现 无 法 存 取 数 据 .数据 损坏 等 情况 。 

终端 的 便 件 包 括 主 板 、 内 存 、 便 盘 、 风 肩 等 。 这 些 便 件 通常 都 由 各 类 集成 电路 和 心 ， 
组 成 。 随 着 电子 扩 术 的 发 展 , 集 成 电路 的 工艺 水 平和 使 用 寿命 得 以 大 幅度 提高 ,构成 计算 
机 终 痪 的 各 种 元 硕 件 的 性 能 和 寿命 也 午 得 到 很 大 提高 。 尽 管 在 电子 产品 的 生产 过 程 中 可 
以 通过 民品 率 来 控制 产品 质量 ,但 由 于 电子 产品 的 高 度 集成 化 和 复杂 的 工艺 环境 ,在 实际 
使 用 过 程 中 ,还 是 会 有 一 定 概率 出 现 产品 失效 ,引发 计算 机 终 病 失效 或 部 分 失效 ,如 图 3-2 
所 示 。 在 2018 年 4 月 ,由 于 气体 火灾 报警 系统 释放 灭火 气体 ,导致 瑞典 Digiplex 数据 中 
心 磁 盘 损坏 ,引发 近 173 的 服务 硕 意 外 关机 ,进而 中 断 了 整个 北欧 范围 内 的 美国 证 其 交易 
商 协会 (National Association of Securities Dealers Automated Quotations ,NASDAQ) 业 
务 , 这 是 一 起 典型 的 由 运行 环境 造成 的 安全 事件 。 


CS A A 


图 3-2 ”主板 电子 元 器 件 损坏 


电磁 泄漏 是 电子 设备 无 法 避免 的 电磁 学 现象 。 由 于 终端 设备 工作 时 使 用 的 模拟 或 数 
字 信 息 的 变化 会 引起 电流 .电压 的 变化 ,从 而 产生 电磁 泄漏 ,由 此 导致 的 CPU 功率 变化 
示例 如 图 3-3 所 示 。 任 何 处 于 工作 状态 的 电子 设备 都 会 或 多 或 少 地 产生 电磁 泄漏 。 在 电 
磁 泄漏 研究 中 ,* 红 信和 号 ”是 指 与 敏感 信息 有 关 的 电信 和 号 ,其 他 信和 号称 为 黑 信 号 。 
电磁 信和 号 一 般 通过 两 种 方式 泄漏 : 一 种 是 以 电磁 波 的 方式 向 周围 空间 辐射 , 称 为 加 
射 泄漏 ,这 是 由 终端 内 部 的 电子 电路 、 线 缆 等 产生 的 ; 另 一 种 是 电磁 能 量 通 过 传导 线路 伟 
递 , 称 为 传导 泄漏 。 利 用 特殊 的 电子 装置 捕获 泄漏 的 电磁 辆 射 或 电磁 能 量 , 通 过 特定 的 算 
法 转换 就 可 以 还 原 传输 的 数据 ,从 而 造成 信息 泄漏 。 侧 信道 攻击 (又 称 边 信道 攻击 ) 就 是 
针对 加 密 电 子 设备 在 运行 过 程 中 的 时 间 消耗 、 功 率 消耗 或 电磁 辆 射 对 加 密 设备 进行 攻击 
的 方法 ,由 此 可 以 获取 终端 相关 的 密 钥 、 信 息 , 给 终端 带 来 安全 威胁 。 图 3-4 为 2016 年 2 
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图 3-3 CPU 功率 变化 示例 


月 以 色 列 特拉维夫 大 学 和 以 色 列 理工 学 院 利 用 侧 信 道 攻 击 技术 对 隔壁 房间 中 运行 的 笔记 
本 电脑 进行 攻击 的 实验 环境 。 


图 3-4 侧 信道 攻击 实验 环境 


侧 信道 攻击 技术 发 不 仅 可 以 用 于 攻击 计算 机 终端 ,还 可 以 攻击 很 多 设备 。 在 2017 年 
7 月 28 日 在 美国 拉 斯 维 加 斯 举行 的 Black Hat 2017 安全 会 议 上 ,阿里 巴巴 公司 安全 部 门 
的 人 研究 人 员 演 示 了 用 声音 和 超声 波 攻 击 智 能 设备 的 技术 (本 质 上 属于 一 种 结合 了 侧 信 道 
攻击 的 故障 攻击 方法 ) ,包括 大 疆 无 人 机 .iPhone 7 .三星 Galaxy S7 .虚拟 现实 显示 器 等 产 
品 均 可 被 攻击 和 支持 。 

由 于 电磁 现象 而 引起 的 设备 ,传输 通 忆 或 系统 性 能 的 下 降 称 为 电磁 干扰 
(Electromagnetic Interference,EMI) 。 电 磁 干 扰 是 人 们 早 就 发 现 的 电磁 现象 , 它 几 乎 和 
电磁 效应 的 现象 同时 被 发 现 。 

电磁 干扰 分 为 传导 干扰 和 辐射 干扰 两 种 。 传 导 干 扰 是 指 通 过 导电 介质 把 一 个 电网 络 
中 的 信号 耘 合 到 万 一 个 电网 络 中 。 辆 射 干扰 是 指 干扰 源 通 过 空间 把 其 信号 耦合 到 邦 一 个 
电网 络 中 。 在 高 速 印 制 电路 板 设计 中 ,高 频 信号 线 、 集 成 电路 的 引 脚 、 各 闫 接 插 件 等 都 可 
能 成 为 具有 天 线 特 性 的 辐射 干扰 源 ,能 够 发 射电 磁 波 并 影响 其 他 系统 或 本 系统 内 其 他 于 
系统 的 正常 工作 。 

一 般 来 说 ,电磁 干扰 源 分 为 两 大 类 : 日 然 干 扰 源 与 人 为 干扰 源 。 

日 然 干扰 源 主要 来 源 于 大 气 层 的 天 电 哄 声 、 地 球 外 层 空 间 的 宇宙 哄 声 ,例如 内 电 、 静 
电 放 电 .日 鬼 物 质 喷射 都 会 产生 干扰 噪声 。 它 们 既是 地 球 电 磁 环 境 的 基本 组 成 部 分 ,同时 
又 是 对 无 线 电 通信 和 空间 技术 造成 干扰 的 电磁 干扰 源 。 目 然 噪声 会 对 通信 网 络 的 运行 产 
生 干 扰 , 也 会 对 电力 网 络 产 生 干 扰 。 

人 为 干扰 源 是 能 产生 电磁 能 量 干扰 的 机 电 或 其 他 人 工装 置 。 其 中 一 部 分 是 专门 用 来 
发 出 电 磁 能 量 的 闻 置 ,例如 广播 .电视 .通信 境 .雷达 站 和 导航 台 等 无 线 电 设备 ,这 些 称 为 
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有 意 发 射 干扰 源 ; 琅 一 部 分 是 在 完成 目 身 功能 的 同时 附 市 产生 电磁 能 量 的 发 射 , 如 交通 三 
辆 、 架 空 输 电线 、 照 明 右 具 、 电 动机 械 、 家 用 电 右 以 及 工业 、 医 用 冉 频 设备 等 ,这 些 称 为 无 意 

电磁 干扰 与 电磁 汇源 产生 的 后 来 不同。 前 者 的 影响 是 造成 敏感 设备 的 性 能 降低 ,其 
至 引发 元 帮 件 损坏 而 使 之 无 法 工作 ,危害 设备 的 物理 安全 ;后 者 则 造成 源 设备 信息 外 泄 ， 
破坏 信息 的 机 密 性 ,危害 信息 安全 。 


2. 人 为 因素 

人 员 作 为 信息 系统 的 使 用 者 管理 者 ,是 信息 系统 管理 不 可 分 割 的 重要 组 成 部 分 。 一 
方面 人 员 是 企 事 业 单位 的 重要 资产 ; 另 一 方面 人 员 也 是 信息 系统 最 大 的 威胁 来 源 , 甚 至 从 
某 些 角度 来 说 ,人 为 因 系 给 信息 系统 审 来 的 安全 威胁 超过 其 他 因素 造成 的 安全 威 肋 。 例 
如 ,信息 系统 的 运 维 人 员 没 有 定期 对 机 房 中 的 UPSCUninterruptible Power Supply ,不 间 
断 电 源 ) 进 行 巡 检 ,导致 UPS 系统 中 的 电池 漏 液 , 引 发 火灾 ,使 信息 系统 终 妆 被 毁 ; 运 维 人 
员 对 信息 系统 电力 供应 配 电 盘 配置 不 束 悉 ,导致 信息 系统 意外 上 断 电 ,致使 信息 系统 对 外 服 
务 中 断 ;为 了 获取 地 下 埋藏 的 自然 资源 (例如 地 下 水 .矿产 ) ,利用 工程 机 械 采 挖 自然 资源 ， 
导致 地 质 结构 被 破坏 ,引发 地 表 塌陷 ,造成 环境 安全 威胁 。 


“32 存储 介质 方面 的 安全 威胁 


3.2.1 来 和 目 固定 存储 介质 的 安全 威胁 


如 果 对 固定 存储 介质 (如 固定 硬盘 、 人 磁带、 光盘 等 ) 的 存放 环境 \ 使 用 维护 和 销毁 等 方 
面 没 有 人 合理、 完善 的 处 置 方式 ,在 介质 处 置 过程 中 ,可 能 由 于 处 置 不 当 导 致 介质 损伤 、 灭 
失 数据 泄漏 等 安全 威胁 。 例 如 ,将 存储 重要 数据 的 介质 带 出 工作 环境 , 因 保管 不 善 , 导 致 
介质 损伤 或 丢失 ;由 于 介质 的 组 成 材料 不 尽 相 同 ,使 用 寿命 也 各 不 相同 ,对 达到 使 用 寿命 
的 介质 进行 报废 、 销 毁 时 ,如 果 没 有 对 介质 进行 专门 的 数据 探 除 处 理 , 那 么 利用 专业 数据 
恢复 设备 其 至 是 常用 的 数据 恢复 软件 就 可 以 对 介质 中 残留 的 数据 进行 恢复 ,就 有 信息 泄 
漏 的 可 能 性 ,如 图 3-5 所 示 。 


图 3-5 硬盘 数据 恢复 
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3.2.2 来 目 移 动 存储 介质 的 安全 威胁 


由 于 终端 对 移动 存储 介质 接 和 人 缺乏 管控 手段 ,终端 中 存储 的 敏感 数据 可 以 随意 被 复 
制 ,造成 敏感 数据 泄漏 。 同 时 ,由 于 缺乏 相关 的 审核 功能 ,无 法 通过 操作 记录 .访问 记录 等 
进行 责任 追查 。 而 且 移 动 存储 介质 携带 便利 、 使 用 方便 , 极 易 在 安全 性 未 知 的 使 用 环境 中 
感染 病毒 \, 木马 。 当 携带 亚 意 代码 的 移动 存储 介质 接 人 内 网 终端 时 ,对 内 网 会 造成 极 大 的 
安全 隐患 。 移 动 存储 介质 带 来 的 威胁 主要 表现 在 以 下 几 个 方面 : 

(1) 无 法 保护 终端 数据 私密 性 。 由 于 普通 U 盘 、 移 动 硬 盘 是 不 受 管控 的 存储 介质 ， 
没有 任何 措施 可 以 保证 UU 盘 、 移 动 硬盘 在 可 控 的 环境 下 使 用 , 即 U 盘 、 移 动 硬盘 可 以 不 受 
控 地 在 任何 计算 机 上 使 用 ,这 样 , 当 员工 在 使 用 U 盘 、 移 动 便 盘 处 理 终端 和 相关 业务 数据 
时 ,就 可 能 造成 企业 数据 的 无 意外 泄 ,或 者 员工 故意 窃取 数据 ,而 组 织 和 管理 者 无 法 获知 
的 情况 

(2) 无 法 保护 移动 存储 介质 数据 的 私密 性 和 完整 性 。 由 于 移动 存储 介质 可 能 是 一 个 
不 受 保 护 的 存储 介质 ,对 数据 的 访问 并 不 会 进行 身份 验证 ,数据 也 未 进行 加 密 处 理 。 所 
以 ,在 移动 存储 介质 丢失 ,被 他 人 冒 用 或 被 病毒 .木马 感染 的 情况 下 ,容易 造成 其 中 保存 的 
数据 泄露 ,被 自 改 、 于 失 或 损坏 的 情况 。 

(3) 容易 造成 内 部 病毒 、 木 马 传播 。 由 于 移动 存储 介质 在 内 部 网 络 、 外 部 网 络 混用 的 
情况 非常 普遍, 移动 存储 介质 极 易 成 为 病毒 等 恶意 代码 的 载体 。 一 旦 将 U 盘 、 移 动 硬盘 
插 人 到 其 他 计算 机 上 ,就 极 有 可 能 造成 计算 机 感染 病毒 ,从 而 引发 整个 网 络 的 病毒 蔓延 ， 
造成 系统 损坏 .数据 丢失 .死机 ,甚至 网 络 次 痪 。 

(4) 对 于 效 据 泄 露 的 安全 事件 无 法 追 踩 。 普 通 U 盘 、 移 动 便 盘 无 论 是 在 内 网 还 是 在 
互联 网 上 使 用 ,都 无 法 对 其 进行 有 效 的 审核 和 取证 。 

(5) 容易 成 为 某 些 特定 攻击 的 载体 。 通 过 对 USB 设备 的 内 部 微 控制 占 、\USB 设备 的 
固件 等 进行 重新 编程 的 方式 ,可 以 实施 攻击 ,执行 恶意 动作 ,甚至 可 以 通过 USB 触发 电力 
过 载 , 人 破坏 终 问 设备 。 

在 2014 年 美国 墨 帽 大 会 上 ,柏林 SRLabs 的 安全 人 研究 人 员 JakobLell 和 独立 安全 仇 
究 人 员 Karsten Nohl 展示 了 称 为 BadUSB( 按 照 BadBIOS 命名 ) 的 攻击 方法 ,这 种 攻击 方 
法 让 终端 和 与 USB 相关 的 设备 (包括 具有 USB 接口 的 计算 机 ) 都 陷入 了 相当 危险 的 状 
仿 。BadUSB 模拟 键盘 和 鼠标 的 操作 ,通过 执行 特定 的 命令 对 主机 进行 操作 ,实现 对 主机 
的 攻击 ,所 以 常规 的 防 病 毒 软件 无 法 防范 其 攻击 行为 。 

BadUSB 主要 依靠 USB 至 动 融 的 构建 方式 进行 攻击 。 USB 通 笛 有 一 个 大 容量 的 可 
重 写 的 存储 芯片 用 于 实际 的 数据 存储 ,还 有 一 个 独立 的 控制 器 芯片 负责 与 PC 的 通信 和 
识别 ,如 图 3-6 所 示 。 控 制 芯 片 实际 上 是 一 个 低 功 耗 计 算 机 ,并 且 与 笔记 本 电脑 或 台式 机 
一 样 , 它 通 过 从 存储 芯片 加 载 基本 的 引导 程序 来 启动 ,类似 于 笔记 本 电脑 的 便 盘 驱动 锅 包 
含 的 主 引 导 记 录 。 闪 存 中 有 一 部 分 区 域 是 控制 右 固 件 , 它 的 作用 类 似 于 操作 系统 ,用 于 控 
制 软 硬件 交互 。 固 件 无 法 通过 普通 手段 读 取 ，。 

BadUSB 对 U 盘 的 固件 进行 逆 癌 重新 编程 ,相当 于 改 瑟 了 UU 盘 的 操作 系统 ,进而 发 
动 攻击 。 
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控制 器 日。 大 容量 
固件 上 日 存储 芯片 


唯一 对 用 户 对 
可 见 的 部 分 


图 3-6 BadUSB 硬件 架构 


为 什么 重 写 固件 即 可 实现 进行 攻击 ? 这 主要 是 因为 USB 协议 中 存在 安全 漏洞 。 

由 于 USB 设备 种 类 很 多 ,例如 音 视 频 设 备 .摄像 头等 ,因此 要 求 操 作 系统 提供 最 大 程 
度 的 驱动 程序 兼容 性 ,甚至 免 驱动 程序 使 用 。 所 以 ,在 设计 USB 标准 的 时 候 , 并 没有 要 求 
每 个 USB 设备 像 网 络 设备 一 样 使 用 一 个 可 识别 的 唯一 MAC 地 址 进行 验证 ,而 是 允许 一 
个 USB 设备 具有 多 个 输入 输出 设备 的 特征 。 这 样 , 就 可 以 通过 重 写 U 盘 固 件 , 将 其 伪装 
成 一 个 USB 键盘 ,并 通过 输入 到 U 盘 固 件 中 的 指令 和 代码 进行 攻击 。 

2018 年 ,IBM 公司 发 布 了 禁止 全 球 所 有 员工 使 用 可 移动 存储 设备 的 公告 ,IBM 公司 
做 出 该 决策 的 原因 是 “必须 将 错 放 、 和 于 失 或 遭 遗 用 的 可 移动 便携 式 人 存储 设备 所 市 来 的 经 济 
损失 和 名 党 损失 最 小 化 ”。 由 此 可 见 ,移动 存 储 设备 对 组 织 机 构 安全 有 很 大 影响 。 


3 3 设备 方面 的 安全 威胁 


由 外 部 设备 引发 的 安全 威胁 也 是 不 容 小 遍 的 。 信 息 系统 中 各 种 各 样 的 外 部 设备 痢 可 
能 引发 安全 方面 的 问题 。 例 如 ,笔记 本 电脑 通 芝 都 配 有 摄像 尖 , 如 来 摄像 涉 补 远程 控制 ， 
笔记 本 电脑 使 用 者 及 其 所 在 周边 环境 部 可 馈 控制 者 观察 、 记 录 下 来 。 假 设 笔记 本 电脑 使 
用 者 参加 东 个 涉及 商业 秘密 的 会 议 , 而 摄像 头面 四 的 是 涉 密 数据 内 容 , 可 以 想见 会 对 数据 
安全 和 企业 造成 多 大 威胁 。 

在 办 公 中 不 可 或 缺 的 打印 机 也 有 可 能 引发 安全 威胁 。 例 如 ,在 打印 过 程 中 ,打印 机 周 
围 的 其 他 人 员 有 可 能 会 看 到 打印 的 内 容 , 从 而 造成 泄密 ; 硒 残 在 打印 后 ,由 于 体 玛 表面 的 
静电 残留 ,打印 的 内 容 会 残留 在 硒 玛 表面 ,通过 分 析 静 电 残 留成 像 就 可 以 恢复 打印 的 内 
容 , 从 而 造成 泄密 ;打印 机 通 第 都 安 委 了 内 部 存储 融 , 用 于 存储 打印 任务 的 数据 ,只 有 新 的 
打印 数据 进入 后 才 会 履 毒 原 有 和 内容, 在 存储 天 更 换 或 报废 时 ,如 采 存 储 表 中 包含 敏感 数 
据 ,通过 谈 取 存储 天 中 的 内 容 驶 会 造成 泄密 ;网 络 打 印 机 通过 网 络 接收 打印 任务 和 打印 内 
容 , 如 采 在 这 个 过 程 中 攻击 者 监听 传人 打印 机 的 网 络 数据 ,或 者 打印 机 和 被 病毒 感染 ,通过 
网 络 将 打印 数据 传输 到 外 部 网 络 攻击 痢 指 定 的 位 置 ,都 会 造成 数据 泄密 。 
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在 海湾 战争 期 间 ,美国 利用 打印 机 内 艇 的 病毒 程序 感染 伊拉克 连接 打印 机 的 终端 ,从 
而 造成 终端 所 在 的 信息 系统 失效 ,这 是 通过 外 部 设备 对 终端 进行 算 改 和 破坏 的 典型 案例 。 

扫描 仪 与 打印 机 的 安全 威胁 相似 ,在 扫描 敏感 数据 时 ,如 果 周 边 有 其 他 人 员 , 可 能 会 
造成 敏感 信息 被 宙 视 ;敏感 数据 扫描 后 存储 在 扫描 仪 的 存储 器 中 ,在 存储 器 更 换 或 报废 时 
也 会 造成 信息 泄露 。 

键盘 是 终端 非常 重要 的 输入 设备 ,任何 与 终端 交互 的 信息 ,包括 用 户 名 ,口令 都 需要 
通过 键盘 输入 。2017 年 曝光 了 某 品牌 的 音频 驱动 程序 中 包含 内 置 键盘 记录 器 ,会 监控 用 
户 的 所 有 按键 输入 。 虽 然 该 功能 用 于 测试 快捷 键 的 有 效 性 ,但 会 在 调试 日 志 中 记录 所 有 
的 按键 动作 ,导致 用 户 的 按键 记录 被 日 志文 件 留存 。 如 果 日 志文 件 被 恶意 使 用 ,就 会 引发 
安全 威胁 。 


3.4 网 络 万 面 的 安全 威胁 


3.4.1 非法 终端 


对 于 企业 隔离 内 网 用 户 , 各 类 安全 事件 表明 网 络 堡 令 往 往 是 从 内 部 被 攻破 的 。 开 放 
式 的 网 络 使 得 企业 内 部 任何 一 个 人 都 能 够 通过 便携 设备 随意 接 人 企业 核心 业务 网 络 , 访 
问 企 业 的 各 种 网 络 资 源 。 如 果 携 向 恶意 程序 的 终 闹 一 旦 接 入 网 络 , 随 之 而 来 的 结果 就 是 
堡垒 由 内 部 被 攻破 。 开 放 式 的 网 络 犹如 企业 没有 门卫 一 样 , 任 何人 都 可 以 随便 进出 ,不 受 
任何 检查 和 限制 。 可 以 想象 ,这 样 的 开放 式 网 络 为 恶意 访问 提供 了 入 侵 的 便利 条 件 , 采 用 
非常 简单 的 攻击 技术 便 可 造成 巨大 的 破坏 ,不 但 给 企业 带 来 巨大 的 经 济 损失 ,更 有 可 能 使 
企业 面临 法 律 上 的 风险 。 

3.4.2 ”非法 外 联 

在 终端 计算 机 上 使 用 移动 通信 设备 (例如 ,利用 运营 商 提供 的 移动 上 网 卡 ,如 图 3-7 
所 示 )、USB 无 线路 由 设备 以 及 蓝牙 .红外 等 外 部 通信 设备 ,不 受 控 的 智能 终端 或 其 他 无 
线 设备 可 以 任意 接 入 终端 ,使 终端 暴露 在 不 可 控 的 无 线 网 络 空 间 中 。 而 某 些 移动 通信 设 
备 会 在 终端 操作 系统 中 配置 非法 代理 服务 器 ,使 得 内 网 终端 暴露 在 外 部 网 络 空间 中 ,引发 


图 3-7 使 用 移动 上 网 卡 
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信息 泄露 和 暴露 安全 胸 弱 点 ,造成 极 大 的 安全 隐患。 
3.4.3 非法 流量 


言明 系统 通常 连接 的 网 络 接口 ,无论 是 铜 心 网 线 还 是 光纤 接 入 ,其 市 宽 终 究 是 有 限 

的 。 组 织 机 构 通 常会 在 网 络 边 界 部 芽 流 量 控制 或 流量 整形 设备 ,并 制定 市 宽 限 制 策 略 , 以 
便 有 效 利用 网 络 。 但 这 种 方法 无 法 实现 基于 应 用 的 流量 限制 ,内 网 依然 存在 视频 、P2P 等 
软件 占用 市 宽 .影响 正常 办 公 的 情 襄 

在 2018 年 召开 的 RSA 安全 大 会 中 ， 安全 软件 开发 商 Sophos 发 布 了 该 公司 对 全 球 防 
火 十 行 业 状 态 的 人 研究 结果 ,此 项 调查 对 象 是 来 和 日 10 个 国家 (包括 美国 ,加 拿 大 、 霍 西 哥 、 法 
国 .德国 英国、 澳大利亚 .日 本 .印度 与 南非 ) 中 型 企业 的 2700 多 名 IT 管理 者 ， 交 
IT 管理 者 根本 无 法 识别 企业 内 近 半 数 ( 约 45%%) 的 网 络 流量 。 事 实 上 , 近 1/4 的 IT 管 
者 无 法 识别 的 网 络 流量 比例 高 达 702% 。 

如 有 果 不 上 有 具备 识 别 网 络 上 所 运行 内 容 的 能 力 ,就 意味 者 IT 管理 者 将 对 勒 索 软 件 、. 未 知 
恶意 软件 .数据 泄露 以 及 其 他 高 级 威胁 与 潜在 恶意 应 用 / 流 谍 用 户 视 而 不 见 


3.5 ”系统 万 面 的 安全 威胁 


3.5.1 安全 漏洞 

在 终端 的 安全 性 中 ,漏洞 是 一 个 比较 宽泛 的 概念 ,可 以 涉及 终端 系统 的 方方面面 : 硬 
件 .操作 系统 .应 用 软件 等 构成 信息 系统 的 组 成 元 素 都 有 可 能 包含 漏洞 。 在 ISO 27005 标 
准 中 将 漏洞 定义 为 可 被 一 个 或 多 个 威胁 利用 的 资产 或 资产 组 的 弱点 (资产 是 对 组 织 的 商 
业 运 作 及 其 业务 连续 性 ,包括 支持 该 组 织 的 使 命 有 价值 的 任何 信息 资源 ); NIST SP800- 
30 中 给 出 了 更 广 为 使 用 的 定义 : 漏洞 是 指 在 系统 安全 程序 .设计 实施 或 内 部 控制 中 的 


缺陷 或 弱点 ,可 能 会 被 执行 (被 意外 触发 或 被 故意 利用 ) 并 导致 安全 性 被 破坏 或 违反 系统 
安全 否 略 。 


0 漏洞 是 一 个 弱点 ,攻击 者 可 以 利用 漏洞 在 终端 系统 中 执行 未 经 授权 的 
这 是 由 于 终端 系统 在 需求 .设计 、 实 现 .配置 .运行 等 过 程 中 会 因 人 为 因素 有 意 或 无 

地 产生 缺陷 。 人 为 因素 是 其 中 最 主要 的 原因 ,表现 形式 包括 代码 缺陷 .逻辑 缺陷 、 测 试 
ee 这 些 缺 陷 以 不 同形 式 存在 于 终 问 系统 的 各 个 层次 和 环 广 之 
中 ,一 旦 被 攻击 者 利用 ,就 会 对 终 六 安全 造成 威胁 和 损害 ,影响 终 问 系统 的 正常 运行 。 

需要 说 明 的 是 ,缺陷 并 不 等 同 于 漏洞 ,只 有 那些 能 够 被 利用 且 对 终端 安全 造成 损害 的 
缺陷 才能 称 为 漏洞 。 漏 洞 的 危害 程度 依据 对 终端 的 保密 性 、 完 整 性 .可 用 性 3 个 方面 的 影 
啊 程 度 从 高 到 低 依次 分 为 超 危 .高危 . 中 危 、 低 危 4 个 等 级 ,具体 危害 等 级 划分 标准 可 参考 
《信息 安全 技术 安全 漏洞 等 级 划分 指南 》(GB/T 30279 一 2013) 中 的 相关 内 容 。 

漏洞 按照 成 因 可 分 为 以 下 几 类 . 

(1) 边界 条 件 错误 。 由 于 程序 运行 时 未 能 有 效 控 制 操作 范围 所 导致 的 安全 漏洞 , 例 
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如 缓冲 区 溢出 .格式 串 处 理 等 。 

(2) 数据 验证 错误 。 由 于 对 携 市 参数 或 其 中 混杂 操作 指令 的 数据 未 能 进行 有 效 验 证 
和 正确 处 理 导 致 的 安全 漏洞 ,例如 命令 注入 漏洞 .SQL 注 和 人 漏洞.XSSs 注入 漏洞 .LDAP 
注入 漏洞 等 。 

(3) 访问 验证 错误 。 由 于 没有 对 请 求 处 理 的 资源 进行 正确 的 授权 检查 所 导致 的 安全 
漏洞 ,例如 远程 或 本 地 文件 包含 .认证 绕 过 等 。 

(4) 处 理 逻 和 辑 错 误 。 由 于 程序 实现 逻辑 处 理 功 能 存在 问题 所 导致 的 安全 漏洞 ,例如 
程序 逻辑 处 理 错误 .逻辑 分 支 覆 盖 不 全 面 等 。 

(5) 同步 错误 。 由 于 程序 对 操作 的 同步 处 理 不 当 所 导致 的 安全 漏洞 ,例如 不 合理 的 
竞争 条 件 .不 正确 的 数据 序列 化 等 。 

(6) 意外 处 理 错误 。 由 于 程序 对 意外 情况 处 理 不 当 所 导致 的 安全 漏洞 ,例如 泄露 程 
序 的 某 些 结构 或 数据 定义 。 

(7) 对 象 验证 错误 。 由 于 程序 处 理 使 用 对 象 时 缺乏 验证 所 导致 的 安全 漏洞 ,例如 资 
源 释放 后 重 利 用 、 各 类 对 象 错误 引用 等 。 

(8) 配置 错误 。 由 于 终端 系统 安全 配置 不 当 所 导致 的 安全 漏洞 ,例如 默认 配置 、 默 认 
权限 .配置 参数 错误 。 

漏洞 按照 其 在 终端 系统 中 所 处 的 层次 可 分 为 以 下 几 类 : 

(1) 应 用 层 漏洞 。 主 要 来 自 应 用 软件 (例如 Web 程序 、 数 据 库 软件 、 中 间 件 、 各 种 应 
用 软件 等 ) 或 数据 的 缺陷 。 

(2) 系统 层 漏洞 。 主 要 来 自 操 作 系 统 ( 例 如 视窗 操作 系统 .服务 器 操作 系统 .敌人 式 

(3) 网 络 层 漏洞 。 主 要 来 自 网 络 的 缺陷 ,例如 网 络 层 身份 认证 、 网 络 资源 访问 控制 、 
数据 传输 保密 与 完整 性 .远程 接 人 安全 ,域名 系统 安全 和 路 由 系统 安全 等 方面 的 漏洞 。 

漏洞 按照 是 否 被 发 现 可 分 为 未 知 漏洞 和 已 知 漏洞 。 

未 知 漏洞 是 指 那些 系统 中 存在 但 还 没有 被 发 现 的 漏洞 。 这 种 漏洞 的 特征 是 它们 没有 
被 软件 开发 商 、 安 全 组 织 . 黑客 或 黑客 组 织 发 现 , 但 客观 上 是 存在 的 。 未 知 漏洞 带 给 终端 
的 是 隐蔽 的 安全 威胁 。 软 件 开发 商 、 安 全 组 织 . 黑 客 和 黑客 组 织 都 在 努力 地 挖掘 漏洞 ,可 
以 说 , 谁 先 发 现 了 漏洞 , 谁 就 可 以 掌握 主动 权 。 如 果 是 软件 开发 商 、 安 全 组 织 先 发 现 了 漏 
洞 ,在 安全 防护 上 就 擎 握 了 安全 防护 的 主动 权 ; 如 果 是 黑客 或 黑客 组 织 先 发 现 了 漏洞 , 惑 
会 在 攻击 上 和 擎 握 主动 权 。 

已 知 漏 洞 从 漏洞 是 否 有 相应 修补 措施 的 角度 可 以 分 为 两 种 : 0Day 漏洞 和 NDay 
漏洞 。 

0Day 漏洞 ( 零 日 漏洞 ) 是 指 已 经 被 发 现 但 还 没有 相应 修补 措施 的 漏洞 。 从 信息 安全 
的 角度 而 言 ,0Day 漏洞 的 危害 性 极 大 ,因为 这 种 类 型 的 漏洞 有 可 能 掌握 在 极 少 数 人 的 手 
里 。 攻 击 者 有 可 能 在 这 种 类 型 的 漏洞 的 信息 还 没有 公布 ,或 者 是 公布 后 官方 没有 给 出 修 
补 措施 之 前 ,利用 这 段 时 间 差 攻击 包含 0Day 漏洞 的 终端 。 而 对 于 管理 终端 安全 的 管理 
者 而 言 ,0Day 漏洞 由 于 没有 相应 的 防御 方法 ,会 造成 巨大 的 安全 隐患 和 可 能 的 经 济 损失 。 
近年 来 关注 度 非 常 高 的 APT(Advanced Persistent Threat ,局 级 持 组 性 威胁 ) 攻 击 就 是 利 
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用 0Day 漏洞 实施 攻击 的 由 型 方法 。 

NDay 漏洞 是 指 已 经 被 发 现 并 有 相应 修补 措施 的 漏洞 。 其 特点 是 安全 组 织 或 厂商 已 
经 掌握 了 漏洞 形成 的 原因 和 利用 方法 ,产生 漏洞 的 广 商 依据 漏洞 形成 的 原因 发 布 了 相应 
的 安全 补丁 程序 用 于 修补 相关 漏洞 ,安全 组 织 或 厂商 按照 漏洞 形成 原因 和 利用 方法 ,在 安 
全 防护 产品 中 或 安全 服务 项 目 已 经 加 入 针对 相应 类 型 漏洞 的 防护 方法 。 而 攻击 者 和 黑客 
组 织 利 用 安全 组 织 或 厂商 公布 的 漏洞 形成 原因 编写 具有 针对 性 的 漏洞 利用 程序 文件 ,对 
包含 漏洞 而 尚未 安装 补丁 程序 的 终端 进行 攻击 。 

未 知 漏洞 和 已 知 漏洞 是 动态 变化 的 。 未 知 漏洞 可 能 会 因 其 被 产品 广 商 、 攻 击 人 员 、 安 
全 人 员 等 发 现 而 转 为 已 知 漏洞 。 即 使 对 于 已 知 漏洞 ,大 部 分 终端 用 户 对 终端 中 是 否 包 含 
相关 漏洞 以 及 相关 漏洞 是 否 已 经 安装 补丁 程序 并 不 了 解 , 这 种 情况 并 不 少见 。 这 一 方面 
由 于 企 事 业 单 位 中 信息 安全 岗位 人 员 的 缺失 ,没有 专业 人 员 负 责 维护 终端 安全 : 兄 一 方 


手段 和 管理 措施 来 保障 终端 安全 。 这 说 明 , 在 终端 发 现 漏洞 的 情况 下 ,即使 是 已 知 并 可 以 
被 修复 的 漏洞 , 仍 有 可 能 因为 用 户 未 及 时 安装 补丁 程序 等 原因 导致 终端 漏洞 仍 受到 攻击 
和 利用 。 在 前 面 提 到 的 APT 攻击 中 ,对 此 类 已 知 漏洞 的 利用 也 不 占 少 数 。 

安全 漏洞 的 表现 形式 多 种 多 样 , 中 国 国家 信息 安全 漏洞 库 将 信息 安全 漏洞 划分 为 26 
种 类 型 ,并 将 它们 组 织 成 漏洞 分 类 层次 树 ,如 图 3-8 所 示 。 


格式 化 字符 串 


资源 管理 错误 四 命令 诗人 


办 入 验证 
数字 饭庄 


未 充分 验证 
数据 可 徘 性 


资料 不 足 安全 特征 问题 
信任 管理 


i 防 问 控制 错误 


加 密 问 题 


图 3-8 漏洞 分 类 层次 树 
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3.5.2 未 定义 安全 基线 


如 果 组 织 机 构 的 信息 系统 网 络 对 终端 计算 机 没有 定义 标准 的 安全 基线 ,就 会 使 组 织 
机 构 的 安全 管理 人 员 对 不 符合 安全 基线 的 设备 不 能 采取 有 效 的 隔离 和 修复 措施 ,对 源 洞 、 
病毒 的 防护 不 能 落实 到 位 。 一 旦 有 终端 发 生病 毒 感染 ,往往 很 快 扩 散 到 全 网 络 , 轻 则 令 网 
络 陷于 瘫痪 , 重 则 造成 数据 的 丢失 或 损害 ,甚至 造成 业务 中 断 , 使 正常 工作 无 法 进行 。 终 
端 入 网 安全 状况 的 不 统一 也 会 使 得 运 维 人 员 筋 疲 力 尽 ,降低 工作 效率 。 这 类 安全 威胁 在 
实际 中 主要 表现 为 以 下 几 点 : 

(1) 终端 的 使 用 者 为 便于 登录 系统 ,随意 更 改 终端 主机 的 密码 ,设置 口令 为 弱 口 令 ， 
甚至 不 设置 口令 ,或 者 设置 的 口令 不 符合 强 口令 规则 ,使 口令 容易 被 暴力 猜测 破解 。 

(2) 随意 更 改 主 机 信息 。 随 意 更 改 主 机 名 、IP 地 址 .MAC 地 址 等 信息 ,给 组 织 机 构 
资产 管理 .网 络 审 计 等 方面 造成 不 便 。 

(3) 随意 安装 和 运行 各 种 软件 。 由 于 终端 使 用 者 基本 都 具有 信息 系统 本 地 管 忆 
限 ,可 以 安装 和 运行 各 种 娱乐 软件 甚至 是 盗版 软件 ,这 些 软件 可 能 带 有 病毒 \ 木马 等 恶意 
程序 ,给 信息 系统 和 组 织 机 构 市 来 声 葵 风险、 版 权 风 险 和 安全 风险 。 


Se 亚 意 软件 


理 员 权 


随 看 信息 拉 术 的 不 断 发 展 ,社会 中 各 种 业务 的 运作 越 来 越 依赖 于 计算 机 ,而 目前 防 不 
胜 防 的 计算 机 晋 意 软 件 给 计算 机 终 病 的 正 第 运 
行 造 成 了 较 大 的 威胁 。 互 联网 的 普及 也 使 得 亚 


The Morris Internet Worm 


意 软 件 大 量 出 现 o | SOuUrce COde 


si ra ia 1 vale 出 Lo 
s 可 


时 期 的 恶意 软件 郡 是 作为 实验 或 恶作剧 纺 
写 的 ,典型 的 例子 是 第 一 个 互联 网 蠕虫 Morris， 
如 图 3-9 所 示 。 恶 意 软 件 从 政府 和 企业 网 站 收集 
受 保 护 的 信息 ,并 且 在 一 些 关 键 基础 设施 中 伺机 
进行 破坏 性 操作 (例如 3.6.5 节 中 的 APT 攻击 )。 
恶意 软件 也 可 以 用 于 获取 个 人 信息 ,例如 号 份 证 
号 个 银行 账号 或 信用 卡号 、 密 个 等 。 

恶意 软件 被 有 意 地 设计 成 使 计算 机 、 服 务 
货 、 客 户 闹 或 计算 机 网 络 损 坏 的 软件 ,被 恶意 攻 
击 者 广泛 用 于 宠 取 人 个人、 组织 机 构 的 财务 .商业 
信息 ,抽取 经 济 利益 , 鳃 取 情 报 ,发 动 网 络 战 等 。 
垩 意 软 件 在 植 人 或 以 东 种 方式 侵 和 人 目标 终端 后 ， 图 3-9 存储 Morris 蠕虫 源 程序 的 磁盘 
采用 可 执行 代码 、 脚 本、 活动 内 容 和 其 他 软件 等 
多 种 形式 对 终端 造成 损害 。 可 执行 代码 的 表现 形式 可 以 是 病毒 .蠕虫 .木马 .勒索 软件 、 间 
诛 软 件 , 广 告 软件 等 ,并 且 可 能 不 限于 一 种 形式 ,往往 是 多 种 形式 的 混合 体 。 在 中 国 国家 
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标准 《信息 安全 技术 病毒 防治 产品 安全 技术 要 求 和 测试 评价 方法 》(GB/T 37090 一 2018) 
中 ,对 恶意 软件 进行 了 定义 : 能 够 影响 计算 机 操作 系统 .应 用 程序 和 数据 的 完整 性 .可 用 
性 .可 控 性 和 保密 性 的 计算 机 程序 或 代码 的 软件 。 以 下 介绍 恶意 软件 对 终端 安全 产生 影 
啊 的 第 见 形式 。 


3.6.1 僵尸 网 络 


僵尸 终端 是 被 恶意 攻击 者 利用 病毒 .蠕虫 .木马 等 恶意 软件 控制 的 ,用 于 非法 目的 的 
终 病 ,俗称 "肉鸡 ?”。 人 僵尸 终 病 可 用 于 发 送 垃 圾 电子 邮件 、 存 储 违 茶 数据 (例如 ,色情 内 容 )、 
发 动 分 布 式 拒 绝 服务 攻击 (DDos) 等 目的 。 僵 尸 网 络 (Cbotnet) 十 此 拓 僵 尸 终 妆 的 多 辑 集 
合 ,僵尸 终 闯 可 以 是 计算 机 终 病 、 移 动 镶 能 终 闪 甚至 是 物 联 网 设备 终 闪 等。 例如 ,2016 年 
10 月 21 日 的 Dyn( 达 因 公 司 ,提供 DNS 服务 ) 网 络 攻击 事件 是 一 起 典型 的 由 僵尸 网 络 发 
起 的 分 布 式 拒绝 服务 攻击 ,攻击 导致 欧洲 和 北美 的 大 量 用 户 无 法 使 用 主要 的 互联 网 平台 
和 服务 。 此 次 事件 主要 是 由 于 被 感染 Mirai 恶意 软件 的 大 量 物 联网 设备 (例如 网 络 摄像 
头 、 家 硅 网 关 等 联网 设备 ) 组 成 的 僵尸 网 络 利 用 分 布 式 拒绝 服务 攻击 方式 回 Dyn 域名 解 
析 服 务 器 提交 数 以 千 万 计 的 海量 IP 地 址 DNS 查询 请 求 , 使 Dyn 域名 解析 服务 器 无 法 对 
外 提供 服务 ,导致 互联 网 服务 瘫痪 。 受 网 络 攻 击 影响 的 北 闫 和 欧洲 区 域 如 图 3-10 所 示 ， 
闫 色 深 浅 表 明 受 影响 的 程度 ，。 


图 3-10 受 网 络 攻击 影响 的 北美 和 欧洲 区 域 


僵尸 网 络 的 体系 结构 也 在 不 断 发 展 ,除了 传统 的 客户 /服务 帮 方 式 , 还 出 现 了 反对 后 
方式 。 这 些 僵尸 网 络 的 实际 控制 者 通过 IRC、Telnet、P2P 等 协议 发 动 攻击 ,大 型 僵尸 网 
络 还 甩 用 了 域 的 组 织 方 式 , 僵 尸 网 络 通过 这 些 协 议 完 成 合 令 和 控制 (Command and 
Control, 简称 C&C 或 C2) 的 过 程 。 攻 击 者 通过 隐蔽 通道 与 僵尸 终端 上 的 客户 端 软件 进 
行 通 信 。 人 僵尸 网 络 除了 币 见 的 发 送 垃 圾 邮件 和 拒绝 服务 攻击 、 获 取 僵 尸 终 闫 的 用 户 个 人 
敏感 信息 外 ,还 被 用 于 间谍 活动 .下 载 和 安装 流 谍 软件 、 网 络 欺诈、 挖 矿 .APT 等 恶意 攻击 
行为 中 ,参见 后 续 草 广 相 关内 容 的 介绍 。 

僵尸 终端 的 大 多 数 所 有 者 、 使 用 者 通 第 没有 意识 到 终 问 被 恶意 利用 。 这 些 终 问 可 以 
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第 3 章 终端 安全 威胁 


是 路 由 天、Web 服务 硕 、 物 联网 设备 ,僵尸 恶意 软件 利用 终端 的 漏洞 (例如 弱 口 令 、 安 全 汤 
洞 等 ) 对 终 闯 进行 感染 ,使 之 成 为 僵尸 网 络 的 一 员 , 并 可 能 进一步 感染 其 他 终 病 ,对 终 闯 安 
全 和 终 问 所 在 信息 系统 造成 巨大 的 安全 隐患 。 


3.6.2 软件 供应 链 攻 击 


软件 供应 链 攻 击 是 指 利 用 软件 供应 商 与 最 终 用 户 之 则 的 信任 关系 ,在 合法 软件 正常 
传播 和 升级 过 程 中 ,利用 软件 供应 商 的 各 种 踊 忽 或 漏洞 ,对 合法 软件 进行 支持 或 佬 改 , 从 
而 经 过 传统 安全 产品 检查 ,以 达到 非法 目的 的 攻击 类 型 ,如 图 3-11 所 示 。 


Sp 
,日 香 


钦 件 使 用 者 
oe F 载 安装 支持 
人 言 息 推送 挂 乌 


图 3-11 供应 链 攻 击 


在 软件 供应 链 中 ,软件 通 第 可 分 为 付费 软件 和 免费 软件 。 个 人 和 政 企 用 户 通 稼 认为 
付费 软件 在 质量 .安全 性 和 服务 等 方面 都 会 有 很 高 的 保障 ,遭遇 供应 链 攻 击 的 概率 相对 会 
低 很 多 。 也 正 是 因为 这 种 强 信任 关系 ,付费 软件 一 旦 遭遇 软件 供应 链 攻 击 ,其 破坏 性 也 将 
是 巨大 的 。 免 费 软件 通常 都 是 个 人 上 自行 从 互联 网 上 下 载 和 安装 的 ,软件 本 身 的 安全 性 参 
差 不 齐 , 组 织 机 构 对 软件 广 商 也 没有 直接 的 约束 ,因此 遭遇 软件 供应 链 攻 击 的 风险 非常 
高 。 通 过 下 载 安装 、 升 级 维护 ,信息 推送 等 方式 ,利用 软件 厂商 及 其 分 发 渠道 监管 不 严 ,\ 不 
日 律 .漏洞 ,通过 劫持 、 贷 改 、 挂 马 等 方式 对 软件 进行 污染 ,达到 其 非法 目的 。 

360 安全 团队 在 2017 年 发 布 的 4 中 国政 企 软件 供应 链 攻击 现状 分 析 报 告 》 中 列举 了 
多 起 软件 供应 链 攻击 的 案例 ,其 中 比较 著名 的 攻击 事件 发 生 在 2017 年 6 月 27 日 ,马克 
兰 、 俄 罗斯 .印度 .西班牙 .法国 英国 等 欧洲 多 国 遭 受 大 规模 Petya 勒索 病毒 禾 击 ,该 病毒 


远程 锁定 设备 ,然后 索要 赎金 。 其 中 ,乌克兰 受灾 最 为 严重 ,政府 ,银行 .电力 系统 、 通 信 系 


统 .企业 以 及 机 场 都 不 同 程度 地 受到 了 影响 ,首都 基辅 的 饱 里 斯 波 尔 国 际 机 场 、 乌 克 兰 国 
家 储蓄 银行 、 马 士 基 船 舶 公司 俄罗斯 石油 公司 和 乌 元 兰 部 分 商业 银行 ,零售 企业 和 政府 
系统 遭 到 了 攻击 。 有 人 研究 认为 ,这 次 攻击 的 目的 是 破坏 而 非 敲 诈 , 目 标 是 破坏 马克 兰 的 重 
点 基础 设施 ,只 是 伪装 成 Petya 病毒 攻击 的 样子 来 欺骗 安全 分 析 人 员 , 因 此 有 的 安全 公司 
称 之 为 NotPetya 攻击 。 
根据 事后 的 分 析 , 此 次 事件 之 所 以 能 在 短 时 间 内 肆虐 欧洲 大 陆 ,就 在 于 其 利用 了 在 乌 
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克 兰 流行 的 会 计 软 件 M.E.Doc 进行 传播 。 这 球 软 件 是 乌克兰 政府 要 求 企业 安 法 的 , 覆 亲 
率 接近 50%。 更 为 严重 的 是 ,根据 安全 公司 的 研究 ,M.E.Doc 公司 的 升级 服务 融 在 问题 
爆发 前 3 个 月 i 换 而 言 之 ,攻击 者 已 经 控制 了 马克 兰 50% 的 公司 达 3 个 月 
之 久 ,Petya 攻击 只 是 这 个 为 期 3 个 月 的 控制 的 最 后 终结 ,其 日 9 就 是 尽 可 能 多 地 破坏 攻 
击 线索 ,避免 政府 对 攻击 过 程 取证 。 在 此 过 程 中 ,攻击 者 采用 的 就 是 典型 的 软件 供应 链 攻 
击 方法 。 


3.6.3 勒索 软件 


2017 年 5 月 ,永恒 之 蓝 勒 案 蠕 虫 病毒 man eal i 基 " 病 毒 ) 扫 诬 全 球 , 导 
致 150 多 个 国家 、30 多 万 受害 者 遭遇 勒索 软件 攻击 ,医疗 、 交 通 . 能源. 教育 等 行业 领域 遭 
受 巨 大 损失 。 特 别 是 在 该 病毒 的 攻击 过 程 中 ,大 量 " 不 联网 "的 、 一 加 被 认 为 是 相对 安全 的 
企业 和 机 构 的 内 网 设备 也 被 感染 ,这 给 全 球 所 有 企业 和 机 构 都 毅 啊 了 了 警钟: 没有 绝对 的 
隔离 ,也 没有 绝对 的 安全 ,不 联网 的 不 一 定 比 联网 的 更 加 安全 。 该 病毒 的 编写 人 员 据 称 是 
美国 国家 安全 局 (National Security Agency, NSA ) 户 下 方程 式 组 织 (Equation Group ) 。 
以 永恒 之 蓝 为 代表 的 这 一 波 漏洞 利用 武器 库 的 大 规模 试 水 可 以 称 为 网 络 战 的 雏形 ,如 
图 3-12 所 示 。 


Canl Recover My Files? 
Sree, We Ear a hant you Can rerever all rour fliss safely snd eusily., Dut you have 
Bs B60 #6 di 
You can doery pt 0 of yorar don he de dng Deerypa>. 


Wi Will have free eyents for Lers wo are go poor Da a i 


How Do I Pay? 
Payment bs accepted | Biteotn omiy. A aot rrr < Albot bsealn>. 


图 3-12 WannaCry 攻击 效果 


360 互联 网 安全 中 心 2017 年 12 月 发 布 的 42017 勒索 软件 威胁 形势 分 析 报 告 》 中 的 数 
据 表明 ,在 2017 年 1 一 11 月 ,360 互联 网 安全 中 心 共 截 获 计 算 机 端 新 增 勒 索 软 件 变种 183 
种 ,新 增 控制 域名 238 个 。 全 国 至 少 有 472.5 多 万 台 用 户 计 算 机 遭 到 了 勒索 软件 攻击 , 平 
均 每 天 约 有 1.4 万 台 国 内 计算 机 遭 到 勒索 软件 攻击 。2018 年 ,全 国共 有 430 余 万 台 计算 
机 遭受 勒索 软件 攻击 。 勒 索 软 件 由 2017 年 的 撒 网 式 无 差别 攻击 逐步 转向 以 服务 器 定 回 
攻击 为 主 、 以 撒 网 式 无 差别 攻击 为 辅 的 方式 。 

根据 360 终 疹 安全 实验 室 42018 年 勒索 病毒 日 皮 书 ( 政 企 售 )》 的 数据 ,勒索 软件 的 传 
播 方式 分 布 如 图 3-13 所 示 。 勒 索 软 件 以 某 种 方式 影响 受 感染 的 计算 机 系统 ,并 要 求 对 方 
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付款 以 使 系统 恢复 正常 状态 。 例 如 ,CryptoLocker 可 以 安全 地 加 蜜 文件, 并 且 在 文 付 勒 
索 赎 金 后 解密 文件 。 


游戏 外 挂 传播 0.1% 


其 他 弱 口 令 攻击 0.4% 
邮件 传播 1.2% — 远程 桌 


供应 链 攻击 3.5% 


恶意 软件 传播 5.0% / p> 


其 他 漏 调 入 侵 5.4% 


在 被 勒索 软件 攻击 的 政 企 终端 中 ,金融 行业 终端 最 多 , 占 攻 击 终端 总 数 的 31.8% ;其 
次 是 政府 、 能 源 行 业 终 端 , 占 比分 别 为 10.4%、9.0% ,如 图 3-14 所 示 。 


交通 3$.49% 


» , A 
唱 T 
代 扩 
和 
用 


卫 和 后 3.6% 


电信 2.9% 


二 教育 1.9% 


金 届 :31.8% 


公检法 0.6% 


图 3-14 被 勒索 软件 攻击 的 政 企 终端 行业 分 布 


勒索 软件 又 密 跟 踪 漏 洞 ,利用 多 种 漏洞 .多 种 方式 进行 传播 :攻击 面 和 目标 继 绥 扩大 ， 
除 高 价值 个 人 目标 外 ,还 包括 政 企 机 构 .关键 基础 设施 等 ;被 攻 击 的 设备 种 类 不 断 扩 大 ,从 
个 人 主机 到 政 企 机 构 的 服务 货 , 从 普通 办 公 终 闪 到 专业 生产 设备 ;攻击 目的 也 呈现 多 和 样 
化 ,不 局 限于 勒 系 ,还 包括 以 音 利 为 目的 的 组 织 化 犯 菲 ; 勒 索 行 为 也 不 再 是 恶意 攻击 者 个 
人 的 行为 ,已 经 呈现 有 计划 、 有 组 织 、. 有 目的 的 群体 性 行为 特征 。 预 计 勒 去 软 件 在 2019 年 
仍 将 在 恶意 软件 威胁 排行 榜 上 占有 非常 大 的 比重 。 


3.6.4 挖 矿 木 马 


挖 矿 木马 是 一 类 通过 人 侵 计 算 机 系统 并 植 人 控 矿 机 程序 ,以 赚 取 加 密 数 字 货 币 ( 例 如 
比特 币 、 莱 特 币 、 门 罗 币 等 ) 的 木马 类 恶意 软件 。 被 植 人 挖 矿 木马 的 计算 机 会 出 现 CPU、 
GPU(Graphics Processing Unit ,图 形 处 理 顺 ) 使 用 率 况 升 、 系统 卡 顿 、 部 分 服务 无 法 正 稼 
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使 用 等 情况 。 控 矿 木 马 最 早 在 2012 年 出 现 ,并 在 2017 年 开始 大 量 传播 。 

360 安全 卫士 2019 年 1 月 发 布 的 42018 年 Windows 服务 器 挖 矿 木 马 总 结 报告 ) 中 的 
数据 表明 : 2018 年 , 控 矿 木马 已 经 成 为 Windows 服务 器 遭遇 的 最 严重 的 安全 威胁 之 一 ， 
挖 矿 木马 攻击 趋势 由 2017 年 的 爆发 式 增长 逐渐 转 为 平稳 发 展 的 同时 , 挖 矿 木马 攻击 技术 
提升 明显 ,恶意 挖 矿产 业 也 趋 于 成 熟 。 针 对 Windows 服务 器 的 挖 矿 木 马 除 少 部 分 利用 
Windows 日 身 源 洞 外 ,更 多 的 是 利用 搭建 在 Windows 平台 上 的 Web 应 用 或 数据 库 的 漏 
洞 人 侵 服 务 希 。2018 年 针对 Windows 服务 硕 的 控 矿 木马 攻击 目标 分 布 如 图 3-15 所 示 。 


图 3-15”2018 年 针对 Windows 服务 器 的 挖 矿 木 马 攻 击 目标 分 布 


常见 的 挖 矿 木马 家 族 有 WannaMine、Mykings、8220、MassMiner 等 。 由 于 控 矿 是 一 
机 和 了 网络 访 备 的 价值 被 更 大 程度 地 压榨 。 控 矿 木 马 家 族 除 了 往 终 端 中 植 人 控 矿 木马 百 接 
获 利 外 ,还 会 癌 其 他 黑 产 家 族 提供 成 熟 的 漏洞 攻击 武器 与 战术 ,或 者 将 已 控制 的 终端 出 售 
给 其 他 黑 产 家 族 , 造 成 终端 安全 威胁 来 源 扩大 化 ,给 终端 安全 吊 来 更 多 的 安全 隐患 。 


3.6.9 APT 


高 级 持续 性 威胁 (Advanced Persistent Threat, APT) 是 一 类 具有 隐 菩 性 和 持 经 性 的 
黑客 程序 , 通 稼 针对 商业 政府 机 构 等 目标 ,利用 先进 的 攻击 手段 对 特定 目标 进行 长 期 持 
续 性 网 络 攻击 ,是 近年 来 极 具 威 胁 性 的 攻击 手段 之 一 。 由 于 网 络 * 盏 火 ” 民 用 化 趋势 的 出 
现 , 越 来 越 多 的 军火 级 网 络 漏洞 利用 工具 被 应 用 于 攻击 普通 互联 网 目标 。 这 使 业界 和 公 
众 进一步 加 深 了 对 APT 攻击 与 威胁 的 认识 。APT 的 特点 如 下 : 

(1) 高 级 。 攻 击 组织 痢 通 第 拥有 全 方位 的 情报 收集 技术 ,包括 计算 机 和 人 侵 技术 、 情 报 
收集 技术 ,甚至 包括 电话 拦截 和 卫星 成 像 技 术 。 虽 然 攻击 过 程 中 采用 的 攻击 技术 可 能 不 
会 被 归 关 为 高 级 ,例如 使 用 目 动 化 的 亚 意 软件 生成 工具 包 生 成 的 攻击 组 件 或 多 于 获取 的 
漏洞 利用 工具 ,但 是 ,攻击 团队 通常 可 以 根据 攻击 的 需要 设计 和 开发 更 高 级 的 应 用 工具 ， 
通常 结合 多 种 攻击 方法 、 工 具 和 技术 以 达到 并 攻陷 目标 ,保持 对 目标 的 访问 。 

(2) 持久 性 。 攻 击 者 通常 有 特定 的 目的 和 任务 ,而 不 是 机 会 性 地 寻求 财产 信息 或 其 
他 短期 收益 的 信息 。 这 意味 着 攻击 者 会 受 某 些 组 织 的 指导 ,通过 持续 监测 和 互动 ,对 目标 
进行 跟 踊 ,以 实现 既定 攻击 目的 。 这 并 不 总 味 看 对 目标 持续 的 攻击 或 者 剑 音 软件 更 新 , 事 
实 上 ,低速 和 慢 速 方法 通常 更 为 成 功 。 与 仅 需 要 执行 特定 任务 的 威胁 相 比 ,攻击 者 的 主要 
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目标 之 一 是 保持 对 目标 长 达 数 年 甚至 数 十 年 的 长 期 访问 。 

(3) 威胁 。APT 是 一 种 安全 威胁 ,因为 攻击 者 具有 专业 能 力 和 明确 意图 。APT 是 有 
组 织 的 行为 ,而 不 是 无 意识 的 随机 行为 ,也 不 是 自动 化 的 恶意 代码 执行 。 攻 击 者 有 特定 的 
目标 ,技术 娴熟 ,积极 主动 ,有 旦 攻击 过 程 条 理 分 明 , 不 受 资 金条 件 的 限制 。 

APT 攻击 者 通常 会 使 用 0day、NDay 漏洞 实现 指定 目标 的 攻击 ,攻击 目标 主要 集中 
在 政府 能源、 金融 、 国 防 、 互 联网 等 领域 ,以 获取 目标 的 核心 价值 为 导 回 ,其 核心 价值 可 以 
表现 为 政治 、 经 济 .社会 军事、 技术 等 方面 的 信息 。 例 如 ,2010 年 著名 的 震 网 攻击 就 是 典 
型 的 APT 事件 ,这 次 攻击 利用 相关 工作 人 员 的 个 人 计算 机 作为 第 一 道 攻击 跳板 ,进而 感 
染 相 天 人 员 的 移动 设备 ,病毒 以 移动 设备 为 桥梁 进入 隔离 内 网 内 部 ,随即 潜伏 下 来 并 很 有 
了 奎 心 地 逐步 扩散 ,在 特定 条 件 下 突然 爆发 进行 破坏 。 这 是 一 次 十 分 成 功 的 APT, 而 其 最 
为 成 功 的 地 方 就 在 于 极为 巧妙 地 控制 了 攻击 范围 ,攻击 十 分 精准 。 

APT 攻击 者 遵循 的 典型 持续 攻击 过 程 如 下 . 

(1) 选择 攻击 目标 ,通常 针对 特定 的 组 织 。 

(2) 和 尝试 在 目标 环境 中 建立 立足 点 ( 币 见 攻击 方法 包括 鱼 叉 式 网 络 钓鱼 电子 邮件 ) 。 

(3) 使 用 受 感 染 的 系统 访问 目标 网 络 。 

(4) 部 蜀 有 助 于 实现 攻击 目的 的 其 他 工具 

(5) 消除 痕迹 以 保证 未 来 可 按 计 划 访 问 。 

2013 年 ,Mandiant 公司 对 在 2004 一 2013 年 期 间 使 用 的 APT 方法 进行 研究 ,将 其 过 
程 总 结 为 类 似 生 命 周 期 的 过 程 。 下 面 和 侧 要 介绍 这 一 过 程 : 

(1) 寻找 切 人 点 。 通 过 电子 邮件 等 方式 ,主要 利用 社会 工程 学 和 鱼 叉 式 网 络 钓 鱼 ( 使 
用 0Day、NDay 漏洞 ) ;或 者 在 目标 组 织 的 员工 可 能 访问 的 网 站 上 植 人 恶意 软件 ,进行 水 
坑 攻 击 ;或 者 通过 感染 病毒 的 移动 存储 设备 进行 摆渡 攻击 。 寻 找 切 人 点 的 方法 多 种 多 样 ， 
其 最 终 目 的 是 切入 人 目标 网 络 。 

(2) 建立 立足 点 。 在 目标 网 络 中 安 冯 远程 管理 软件 ,创建 网 络 后 门 和 隧道 ,允许 攻击 
者 隐形 访问 其 基础 设施 。 

(3) 提升 权限 。 利 用 漏洞 和 密码 破解 方式 获取 受 攻击 计算 机 的 窒 理 员 权 限 , 并 尽 可 
能 将 其 扩展 到 Windows 域 管理 员 账 户 。 

(4) 内 部 侦察 。 收 集 有 关 基 础 设施 ,信任 关系 、Windows 域 结 构 等 相关 信息 。 

(5) 横 回 移动 。 将 控制 扩展 到 其 他 工作 站 、 服 务 项 和 基础 设施 元 素 , 并 对 其 进行 数据 
收集 。 

(6) 保持 存在 。 确 保持 续 控 制 前 面 步骤 中 获取 的 访问 通道 和 凭据。 

(7) 完成 任务 。 从 受害 者 的 网 络 中 获取 效 据 。 

从 近期 APT 事件 中 ,可 以 总 结 APT 技术 热点 和 发 展 趋势 如 下 . 

(1) Office 0Day 漏洞 成 为 焦点 。Office 漏洞 的 利用 ,一 直 是 APT 组 织 攻 击 的 重要 手 
段 。2017 年 ,先后 又 有 多 个 高 危 的 Office 漏洞 被 曝 出 ,其 中 很 大 一 部 分 已 经 被 APT 组 织 
使 用 。Office 0Day 漏洞 已 经 成 为 APT 组 织 关 注 的 焦点 。 其 中 逻辑 性 漏洞 .内存 破坏 性 
漏洞 为 主要 类 型 ,这 类 漏洞 包括 CVE-2014-4114、CVE-2014-6352、CVE-2015-0097、CVE- 
2017-0262 .CVE-2016-7255 等 漏洞 都 曾 名 品 一 时 。 


ui 


(2) 晋 意 代 码 复 杂 性 显著 增强 。 在 2017 年 的 APT 技术 领域 中 ,被 提 及 最 多 的 病毒 
不 是 WannaCry, 而 是 FinSpy( 又 名 FinFisher 或 WingBird)。CVE-2017-0199、CVE- 
2017-8759、CVE-2017-11292 等 多 个 漏洞 都 被 用 来 投递 FinSpy。FinSpy 的 代码 经 过 了 多 
层 虚拟 机 保护 (如 图 3-16 所 示 ) ,并 且 还 有 反 调 试 和 反 虚 拟 机 等 功能 ,复杂 程度 极 高 。 
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图 3-16 代码 保护 


(3) APT 已 经 影响 到 每 一 个 人 的 生活 。APT 和 APT 组 织 已 经 开始 影响 到 每 一 个 
人 的 生活 。APT 一 般 是 针对 重要 的 组 织 或 个 人 发 动 的 。 然 而 在 2017 年 ,APT28 组 织 针 
对 酒店 行业 进行 了 攻击 。 而 乌克兰 电网 攻击 事件 以 及 席卷 全 球 的 WannaCry 和 类 Petya 
背后 也 隐隐 有 APT 组 织 的 影子 。 

作为 APT 最 直接 的 战场 终 闪 ,无 论 是 被 动 防御 攻击 还 是 主动 安全 加 固 , 其 目的 
都 是 确保 终端 可 以 有 效 抵 御 APT, 从 而 保证 信息 系统 基础 设施 的 安全 。 


3 7 习 十 


1. 自然 灾害 有 哪些 特点 ? 
2. 在 电磁 信号 领域 ,主要 由 哪 几 种 泄露 数据 信息 的 方式 ?又 有 哪 几 种 方式 可 以 降低 
系统 传输 性 能 ? 
3. 从 终端 所 处 的 环境 来 看 ,设立 终端 机 房 时 应 考虑 哪些 因素 ? 
4. 在 终端 系统 中 ,移动 存储 设备 带 来 的 安全 威胁 有 哪些 ? 
. 漏 油 有 哪些 种 类 ? 其 基本 概念 是 什么 ? 
. 调研 近年 来 的 APT 事件 ,简要 描述 其 攻击 原理 。 


| 
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4.1 终端 安全 管理 概念 


4.1.1 个 人 终端 安全 与 企业 终端 安全 的 区 别 


从 安全 管控 范围 来 看 ,个 人 终端 是 信息 系统 的 末 闯 ,个 人 终 闯 安 全 只 保护 单 点 终端 用 
户 的 安全 ,不 能 对 整个 信息 系统 终端 形成 有 效 的 管理 ,也 不 能 建立 统一 的 安全 基线 ,管理 
人 员 无 法 和 区 握 全 网 的 安全 状况 ;而 企业 终端 安全 面 对 的 是 企业 的 信息 系统 ,在 单 点 终 闯 安 


全 的 基础 上 又 增加 了 全 网 统一 管理 ,全 网 统一 展示 ,全 网 统一 策略 等 网 络 化 管理 能 力 。 针 
对 企业 复杂 的 使 用 环境 ,还 需要 提供 符合 安全 要 求 的 定制 化 服务 ,对 于 重要 基础 设施 领域 
的 企业 这 类 需要 重点 保护 的 单位 (例如 电信 企业 金融 企业 等 ) ,还 需要 提供 专人 负责 、 定 
向 解决 企业 用 户 问题 的 安全 服务 。 而 且 , 为 应 对 越 来 越 严 峻 的 网 络 安全 态势 ,很 多 企业 级 
安全 产品 增加 了 与 其 他 安全 产品 联动 的 功能 ,对 信息 系统 的 整体 防护 效果 和 防护 效率 高 
于 个 人 安全 产品 。 个 人 终端 安全 与 企业 终端 安全 功能 的 对 比如 表 4-1 所 示 ， 


表 4-1 个 人 终端 安全 与 企业 终端 安全 功能 对 比 


功能 分 类 项 个 人 终端 安全 企业 终端 安全 

7 

全 网 安全 状况 查看 V 

Ne 全 网 日 志 统一 分 析 VY 
全 网 分 级 管理 . 

全 网 分 组 管理 VY 

全 网 终端 的 统一 升级 V 

集中 管控 全 网 终端 的 统一 策略 设置 a 
全 网 终端 的 统一 部 团 

远程 终端 信息 查看 VY 

，  % | Y 


~/ 为 支持 的 功能 ,X 为 不 支持 的 功能 。 
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4.1.2 安全 边界 


在 组 织 机 构 的 信息 系统 中 ,传统 的 安全 边界 是 由 防火 墙 \ 入 侵 检 测 系 统 、Web 应 用 防 
火场 等 安全 设备 组 成 的 ,用 于 保护 内 部 信息 系统 中 的 信息 资产 的 信息 安全 系统 。 其 工作 
重点 在 于 建立 一 套 基 于 安全 边界 的 安全 胰 略 ,使 流 经 安全 边界 的 数据 须 循 安全 策略 的 规 
则 。 对 于 企业 信息 系统 而 言 , 这 样 做 的 原因 在 于 : 通常 认为 安全 边界 以 内 是 安全 ,可 信 
的 ,安全 边界 以 外 是 危险 .不 可 信 的 。 

据 FBI 和 CSI 在 2011 年 对 484 家 公司 进行 的 网 络 安全 专项 调查 结果 显示 ,超过 
85% 的 安全 威胁 来 自 企 业内 部 。 在 国内 ,高 达 80% 的 计算 机 终端 应 用 单位 未 部 署 有 效 的 
终 病 安全 管理 系统 和 和 完善 的 管理 制度 ,造成 内 部 网 络 木 马 、 病毒. 亚 意 软件 肆 度 ,各 种 
0Day、NDay 漏洞 .APT 层出不穷 。 昌 然 防 火场 ,人 侵 检 测 系 统 等 种 规 的 网 络 安全 产品 可 
以 解决 信息 系统 的 一 部 分 安全 问题 ,但 计算 机 终端 的 信息 安全 一 直 是 整个 网 络 信息 系统 
安全 的 溥 轮 环 和 。 同 时 ,系统 与 应 用 软件 的 安全 漏洞 使 得 黑客 人 侵 有 机 可 乘 : 由 于 上 月 主 知 
识 产权 操作 系统 的 缺乏 ,使 得 国内 广大 Windows XP 用 户 在 微软 公司 停止 服务 后 面临 前 
所 未 有 的 挑战 , 自 微 软 在 2014 年 4 月 8 日 停止 Windows XP 系统 的 更 新 以 来 ,国内 
Windows XP 操作 系统 占 比 仍 达 17.5% ,依然 面临 很 大 的 安全 风险 。 际 此 之 外 ,很 多 企业 
人 存在 以 下 内 部 网 络 与 终 病 安 全 问题 : 

。 终 病 病毒 、 木 马 问题 并 重 ,不 能 融 效 ,有 序 查 杀 。 

。 全 网 被 动 防御 病毒 ,木马 的 传播 与 破坏 ,无 法 应 对 未 知 威 胁 。 

不 能 及 时 发 现 系统 汤 洞 并 进行 补丁 分 发 与 日 动 修复 。 
。 对 IT 资产 不 能 精确 统计 ,对 资产 变动 情况 的 掌握 滞后 。 
。 终 病 单 点 维护 依 敌 大量 人 工 现场 处 理 。 
。 未 经 认证 的 U 盘 , 移 动 便 盘 等 移动 存储 介质 成 为 病毒 传播 的 载体 。 
。 光驱、 网卡、 蓝牙 .USB 接口 .无 线 设备 等 成 为 风险 引入 的 新 途径 。 
。 终 病 随意 接 入 网 络 , 入 网 后 未 经 授权 访问 核心 资源 。 
对 非法 外 联 不 能 及 时 报警 并 阻 断 ,导致 重要 数据 外 泄 。 
。 终 冰 随意 私 闻 软件 ,恶意 进程 持续 消耗 有 限 网 络 审 宽 资 源 。 

信息 安全 是 一 个 动态 变化 ,不断 发 展 的 过 程 ,传统 的 安全 边界 不 能 解决 内 部 网 络 中 终 
疾 面 临 的 各 种 威胁 。 在 信息 系统 中 , 终 闪 是 各 种 恶意 攻击 的 重点 目标 ,如果 不 采取 一 定 的 
保护 措施 ,终端 设备 存储 和 管理 的 数据 会 面临 很 大 的 安全 风险 。 

由 于 网 络 的 普及 和 业务 信息 化 , 终 关 的 使 用 从 个 体 独 立 运 行 逐 渐 转 变 为 协同 处 理 ,使 
得 单一 终端 独立 工作 的 情况 越 来 越 少 ( 特 殊 应 用 场合 下 依然 存在 终端 独立 工作 的 需求 )， 
终 站 之 间 的 相互 作用 越 来 越 多 , 终 病 之 间 的 联系 越 来 越 么 密 。 在 企业 内 网 中 ,计算 机 终 病 
是 绝 大 多 数 业 务 的 源头 和 起 点 ,终端 日 映 的 安全 问题 往往 是 引发 信息 系统 安全 事件 的 源 
头 。 因 此 , 终 病 安全 管理 是 非常 重要 的 , 民 好 的 终 病 安 全 控制 技术 能 够 保障 企业 的 安全 采 
上 略 得 以 实施 ,从 而 有 效 控 制 各 种 非法 安全 事件 , 壹 制 网 络 中 屡 禁 不 绝 的 恶意 攻击 和 破坏 。 

以 2017 年 爆发 的 勒索 病毒 为 例 , 病 毒 在 专 网 \ 隔 离 网 中 快速 蔓延 ,一 旦 内 网 菜 台 终 问 
感染 ,处 于 同一 网 络 \ 安 全域 其 至 只 要 网 络 可 达 的 主机 都 将 面临 被 感染 的 风险 。 而 通常 的 专 
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网 . 隅 离 网 只 在 传统 安全 边界 部 普 安 全 设备 ,在 内 网 中 传播 的 病毒 通 和 不 会 经 过 此 类 安全 设 
备 ,传统 的 安全 边界 无 法 实现 对 内 部 安全 威胁 的 防御 和 啊 应 。 可 以 想见 ,信息 系统 的 安全 防 
御 边 界 已 发 生变 化 ,传统 的 安全 边界 思维 已 不 能 完全 满足 当前 信息 安全 发 展 的 需求 。 

2010 年 ,约翰 。 人 金 德 维 格 (John Kindervag) 提 出 了 和 去 信任 架构 (或 称 去 信任 网 络 ) ,已 
被 Google、Gartner、Forrester 和 众多 安全 公司 采纳 并 逐步 付 诸 实施 。 其 核心 思想 是 : 网 
络 中 已 不 再 有 可 信 的 设备 .接口 和 用 户 , 所 有 的 流量 都 是 不 可 信任 的 ,都 必须 经 过 验证 才 
可 以 提供 相应 的 服务 。 在 该 架构 中 ,除了 必要 的 身份 验证 技术 外 ,还 需要 保证 使 用 的 终端 
是 安全 终端 ,或 者 终端 处 于 安全 状态 。 因 为 终端 不 仅 是 威胁 和 攻击 的 入口 点 ,而 且 是 敏感 数 
据 ( 包 括 企业 敏感 数据 和 个 人 敏感 数据 ) 的 出 口 点 ,终端 作为 各 类 业务 的 承载 体 ,其 安全 已 经 
成 为 信息 系统 安全 的 重点 。 终 问安 全 和 边界 安全 宕 要 协同 ,以 实现 信息 系统 的 纵深 防御 。 


4.1.3 终 站 安全 党 理 


终端 安全 管理 是 一 种 基于 策略 的 网 络 安全 保护 方法 ,要 求 终端 设备 在 被 授予 对 网 络 
资源 访问 的 权限 之 前 符合 特定 的 标准 。 

终端 在 信息 系统 中 始终 是 威胁 的 潜在 入 口 点 。 终 端 设备 (包括 台式 计算 机 、 笔 记 本 电 
脑 .平板 电脑 .智能 手机 等 ) 都 可 以 被 网 络 犯罪 分 子 利用 ,通过 恶意 软件 攻击 网 络 。 这 些 亚 
意 软件 可 能 会 帮助 他 们 从 各 类 终端 系统 中 窃取 企业 或 个 人 的 敏感 数据 。 随 着 业务 发 展 ， 
很 多 企业 采用 BYOD 和 个 人 设备 (智能 手机 .平板 电脑 等 ) 连 接 到 企业 网 络 办 公 , 网 络 安 
全 面临 的 风险 越 来 越 大 。 由 终端 带 来 的 威胁 近来 呈现 增长 趋势 ,人 们 其 至 使 用 家 用 计算 
机 连接 到 企业 的 网 络 中 。 在 这 种 情况 下 ,安全 边界 往往 无 法 定义 并 且 不 断 变 化 ,传统 的 集 
中 式 安全 解决 方案 解决 此 类 问题 非常 困难 。 而 终端 安全 管理 系统 的 出 现 解决 了 集中 式 安 
全 措施 不 能 解决 的 安全 边界 变化 问题 ,并 在 终端 中 提供 额外 的 保护 措施 

在 这 种 情况 下 ,终端 安全 通过 集中 式 的 安全 解决 方案 防范 和 抵御 安全 威胁 。 终 端 设 
备 在 被 授予 网 络 访问 权 之 前 需要 符合 相关 的 安全 标准 或 安全 基线 ,这 在 很 大 程度 上 有 助 
于 防范 威胁 。 终 端 安全 软件 还 有 助 于 监控 终端 和 终端 设备 的 高 风险 和 恶意 活动 。 当 任何 
设备 (智能 手机 、 笔 记 本 电脑 等 ) 远 程 连接 到 网 络 时 ,这 些 终端 将 可 能 成 为 威胁 和 恶意 软件 
的 入口 点 。 终端 安全 就 是 充分 保护 这 些 终端 ,从 而 通过 阻止 访问 企图 和 终端 上 的 风险 活 
动 来 保护 网 络 。 

就 终端 安全 而 言 , 它 不 是 指 保护 单个 设备 ,而 是 依托 终端 安全 管理 系统 对 信息 系统 中 
的 所 有 终端 进行 统一 管理 ,使 这 些 终端 达到 规定 的 安全 基线 ,从 而 保护 整个 信息 系统 的 安 
全 。 另 外 ,通过 终端 安全 管理 ,使 终端 设备 达到 规定 的 安全 基线 ,也 实现 了 终端 设备 自身 
的 安全 需求 ,从 而 提高 了 终端 设备 的 安全 性 。 

终端 安全 管理 系统 通常 采用 客户 /服务 器 模型 。 在 信息 系统 中 有 终端 安全 管理 服务 
器 端 软件 ,位 于 集中 管理 和 可 访问 的 服务 器 或 网 关上 ;在 每 个 终端 或 终端 设备 上 安装 终端 
安全 管理 客户 端 软件 。 终 端 安全 软件 对 从 终端 创建 的 登录 进行 身份 验证 ,并 在 需要 时 更 
新 客户 端 软件 。 终 端 安全 管理 是 对 信息 资产 .脆弱 性 、 威 胁 等 信息 进行 汇总 .关联 和 分 析 
后 ,实现 对 终端 安全 的 全 生命 周期 管理 。 它 通过 对 收集 到 的 数据 信息 进行 关联 分 析 ,为 制 
定 终端 安全 策略 提供 依据 。 它 通过 终端 安全 管理 服务 器 端 下 发 到 终端 安全 管理 客户 端的 
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安全 人 略 执行 结 采 跟踪 ,为 安全 策略 的 调整 提供 决 案 文 持 。 终 病 安 全 管理 客户 只 接收 到 
下 发 的 安全 人生 略 后 ,按照 安全 全 略 的 规则 对 计算 机 终 闪 中 操作 系统 的 服务 .进程 .只 口 、 外 
设 、 质 产 用户 操 作 轨 迹 等 质 源 和 行为 进行 监控 。 终 端 安 全 管理 客户 只 在 监测 到 违规 或 安 
全 事件 发 生 时 ,按照 安全 和 芝 上 略 的 规则 采取 啊 应 行为 ,并 将 日 志和 报 鸭 信息 上 报到 终端 安全 
管理 服务 天 闯 , 由 终 闪 安全 管理 服务 硕 闪 对 安全 事件 进行 分 析 ,确定 终端 安全 事件 源头 。 
通过 不 断 的 采集 、 分 析 、 调 整 、 下 发 的 循环 ,不断 优 化 调整 终 妆 安全 管理 水 平 。 


4.1.4 工作 范畴 


终端 安全 分 为 两 个 方向 ,分 别 是 终端 的 物理 安全 和 系统 安全 。 有 关于 终端 物理 安全 
威胁 的 描述 参见 第 3 章 。 

计算 机 终端 物理 安全 是 为 了 保证 信息 系统 安全 可 靠 运行 ,确保 信息 系统 在 对 信息 进 
行 采集 .处 理 , 传 输 、 存 储 的 过 程 中 不 会 受到 人 为 或 自然 因素 的 危害 ,而 使 信息 丢失 ,泄露 
或 被 破坏 ,对 计算 机 设备 .设施 (包括 机 房 建筑 .供电 设备 .空调 等 ) .环境 .人 员 、 系 统 等 采 
取 适 当 的 安全 措施 。 计 算 机 终端 的 物理 安全 涉及 整个 系统 的 配套 部 件 . 设 备 和 设施 的 安 
全 性 能 .所 处 环境 安全 以 及 整个 系统 运行 可 靠 性 等 方面 ,是 计算 机 终端 安全 运行 的 基本 
保障 。 

计算 机 终端 系统 安全 体现 在 系统 的 保密 性 .完整 性 .可 用 性 3 个 方面 ,在 计算 机 终端 
上 的 表现 形式 包括 操作 系统 安全 .与 计算 机 终端 相关 联 的 网 络 安全 以 及 计算 机 终端 上 应 
用 程序 的 安全 等 。 可 以 在 操作 系统 .网 络 传输 ,应 用 数据 中 的 处 理 、 传 输 、 储 存 过 程 中 采用 
加 密 或 者 权限 管理 等 保护 措施 来 进行 安全 控制 ,实现 保密 性 ;在 操作 系统 和 应 用 程序 的 使 
用 过 程 中 采用 授权 数字 签名 等 技术 手段 实现 完整 性 ;依赖 于 保密 性 和 完整 性 ,通过 物理 
安全 的 支撑 ,实现 计算 机 终端 的 可 用 性 。 不 同 组 织 机 构 对 于 信息 安全 的 需求 重点 是 不 同 
的 ,要 根据 自身 的 实际 情况 进行 安全 管理 分 析 。 例 如 ,军事 机 构 .政府 部 门 更 重视 机 密 性 ， 
而 企 事业 单位 更 重视 可 用 性 。 

计算 机 终端 安全 管理 措施 将 在 第 5 章 中 详细 介绍 。 


42 终端 安全 管理 现状 


4.2.1 内 终端 安全 管理 现状 


在 2005 年 之 前 ,国内 IT 建设 如 火 如 禁 。 在 信息 系统 建设 过 程 中 ,由 于 终端 的 硬件 配 
置 与 工作 效率 相关 联 ,因此 购置 终端 的 预算 都 比较 充足 ,重视 基础 设施 投入 ,避免 频繁 的 
更 新 换代 ,基本 遵循 短期 高 效 . 长 期 有 效 的 原则 。 信 息 系统 的 管理 者 对 信息 安全 防护 的 理 
解 还 停留 在 防御 外 部 威胁 的 阶段 ,因此 ,信息 安全 管理 的 对 象 是 机 房 中 的 服务 器 和 网 络 
设备 。 

终端 的 使 用 者 对 终端 安全 管理 没有 明确 的 需求 ,处 于 “ 谁 使 用 谁 管理 "的 松散 管理 广 
式 。 用 户 或 管理 员 使 用 自 认为 好 用 的 系统 进行 Ghost 安装 。 当 时 的 杀毒 软件 都 需要 付 
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费 使 用 ,因此 很 多 操作 系统 没有 采用 任何 安全 防护 措施 就 运行 在 网 络 上 。 这 个 阶段 的 杀 
毒 软 件 基 本 都 使 用 离线 升级 包 ,能 够 定期 升级 病毒 库 的 客户 少 之 又 少 ,病毒 传播 快 、 感染 
率 高 。 由 于 对 信息 安全 软件 和 相关 管理 制度 的 忽视 ,这 些 没 有 配置 终端 安全 管理 软件 的 
设备 ,在 没有 相关 管理 制度 约束 的 情况 下 ,总 体 安 全 处 于 高 危 状态 ,甚至 相当 一 部 分 设备 
处 于 无 安全 监管 和 防护 的 状态 中 ,对 企业 和 组 织 机 构 的 信息 系统 危害 巨大 。 

随 着 IT 基础 建设 基本 完善 ,业务 应 用 对 IT 系统 的 依赖 越 来 越 强 ,管理 者 开始 着 手 
进行 资产 管控 ,登记 每 台 计 算 机 的 固定 资产 编号 、IP 地 址 和 MAC 地 址 用 于 资产 管理 。 服 
务 般 管理 (例如 KVM 的 远程 管理 ) 和 软件 资产 管理 的 需求 纷纷 出 现 。 在 这 个 阶段 ,个 人 
终端 管理 需求 明显 少 于 服务 器 终端 的 管理 需求 ,服务 需 终 端 是 IT 建设 ,管理 的 重点 资 
产 。 此 时 ,终端 才 开 始 了 由 无 序 到 有 序 .由 混乱 到 管理 的 过 程 。 

伴随 着 国内 IT 建设 的 鞍 勃 发 展 , 以 梅 丽 莎 `.CIH、 尼 姆 达 、 熊猫 烧香 等 为 代表 的 、 席 卷 
全 国 和 全 球 的 病毒 接连 爆发 ,导致 人 们 谈 “ 毒 ” 色 变 ,用 户 开始 有 了 安装 和 定时 更 新 杀毒 软 
件 的 意识 。 但 是 由 于 此 时 杀毒 软件 的 沛 后 特性 ,并 不 能 及 时 防护 病毒 ,实际 使 用 效果 并 不 
理想 。IT 管理 人 员 在 终端 中 安装 、 升 级 杀毒 软件 ,对 内 网 终 问 进行 策略 配置 ,在 终 问 的 各 
种 维护 工作 中 疲于奔命 。 于 是 ,软件 分 发 和 软件 自动 化 配置 等 成 为 终端 管理 功能 的 热点 。 
但 是 ,由 于 IT 管理 人 员 缺 少 一 套 能 够 获取 ,统计 终端 杀毒 软件 安装 和 使 用 情况 、 病 毒 库 
更 新 情况 等 的 管理 系统 ,使 得 内 网 终端 安全 的 风险 点 更 加 分 散 。 在 这 个 阶段 ,主要 关注 点 
是 控制 几 个 自身 关注 的 热点 的 安全 风险 ,防止 病毒 的 危害 ,并 试图 以 此 种 方式 来 保障 内 网 
的 安全 。 

IT 管理 人 员 逐 渐 意 识 到 “头痛 医 头 、 脚 痛 医 脚 ” 的 思路 解决 不 了 终端 安全 的 问题 , 必 
须 有 一 套 管理 措施 将 分 散 的 终端 个 体 的 安全 问题 整合 为 一 个 整体 的 安全 集合 。 在 这 个 阶 
段 ,用 户 逐 渐 正 视 问 题 ,中 型 和 大 型 信息 系统 开始 规划 和 建立 终端 安全 管理 体系 。 而 随 着 
国家 有 关 信 息 安 全 的 各 类 标准 、 法 规 的 日 益 完 善 , 对 终端 安全 的 体系 化 管理 要 求 越 来 越 明 
确 、 清 晰 ,安全 不 能 有 短 板 和 明显 漏洞 已 经 成 为 信息 系统 的 基本 要 求 , 而 且 终 端 安 全 ,管理 
和 运 维 的 整体 方案 也 成 为 中 型 和 大 型 信息 系统 的 基本 要 求 。 

服务 器 终端 安全 管理 的 需求 不 再 是 简单 的 配置 管理 和 变更 管理 ,安全 基线 管理 .统一 
基线 管理 成 为 主流 的 需求 。 特 别 是 操作 系统 的 发 展 以 及 64 位 操作 系统 的 出 现 , 软 件 兼容 
性 要 求 .补丁 管理 ,自动 化 安装 插件 、 自 动 化 配置 生产 环境 等 成 为 这 一 时 期 终端 管理 的 重 
点 功能 ,日 动 化 部 署 和 上 月 动 化 测试 环境 的 部 署 成 为 主流 需求 ,网 络 准 入 和 非法 外 联检 测 需 
求 依然 存在 。IT 系统 的 终端 安全 管理 开始 从 “有 病 乱 投医 2? 到" 对症 下 药 ” ,企业 开始 参考 
信息 安全 等 级 保护 标准 或 者 ISO 27001 等 国际 标准 来 制定 安全 运 彰 标准 和 安全 基线 。 

在 ITIL( 见 4.2.2 节 ) 等 各 种 安全 标准 和 安全 基线 规定 的 推动 下 ,终端 安全 管理 措施 
纷纷 出 现 。 外 设 管理 .移动 存储 介质 管理 及 审批 审计 需求 .日 动 识 别 存 储 与 非 存 储 设备 、 
防止 非法 外 联 . 禁 用 无 线 .禁用 蓝牙 等 功能 先后 出 现 。“ 涉 密 不 上 网 ,上 网 不 涉 密 ?也 成 为 一 
个 广 为 采 纳 的 安全 准则 ,隔离 机 、 双 网 卡 、 内 网 专用 机 也 陆续 涌现 。2008 一 2010 年 ,基本 和 完 
成 第 一 轮 信息 安全 建设 ,企业 用 户 大 量 购买 防火 墙 .IPS IDS 等 终 问 安全 类 产品 ,完成 了 基 
本 信息 系统 传统 安全 边界 的 建设 。2015 年 ,开始 了 第 二 轮 信 息 安全 建设 ,其 中 云 计算 、 云 安 
全 ,移动 安全 、 开 发 安全 、 运 维 安全 成 为 建设 重点 ,同时 数据 安全 也 越 来 越 受 到 关注 ，。 
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在 互联 网 模式 的 影响 下 ,免费 的 杀毒 软件 目 动 安 猴 补丁 功能 似乎 满足 了 补丁 管理 的 
需求 ,但 消费 类 的 产品 通 第 面 对 的 是 个 人 客户 。 对 于 企业 客户 来 说 ,补丁 的 测试 和 验证 巾 
谁 来 做 ,补丁 是 否 更 新 由 谁 来 决定 ,这 些 问题 更 为 关键 。 保 障 生产 系统 的 稳定 运行 ,需要 
有 一 个 统一 的 管理 和 领导 ,特别 是 终端 安全 管理 的 有 效 实 庆 必 须 依 赖 客户 庙 程序 。 人 合理、 
高 效 地 利用 客户 奖 程 序 成 为 终端 安全 的 关键 。 在 互联 网 模式 下 ,所 有 软件 更 新 和 补丁 都 
免费 在 第 一 时 间 给 予 客户 ,但 是 对 于 企业 信息 安全 来 说 ,企业 需要 在 安全 和 管理 方面 用 适 
合 目 身 信 息 安 全 需求 的 一 套 生 命 周 期 流程 来 保障 ,需要 测试 补丁 的 兼容 性 .稳定 性 ,以 保 
隐 业 务 的 平滑 和 高 效 。 

随 者 虚拟 化 扩 术 的 出 现 ,通过 对 昌 面 和 服务 逢 的 虚拟 化 目 动 部 普 一 个 新 的 系统 ,在 时 
间 成 本 和 工作 量 上 都 远 远 优 于 传统 终端 管理 运 维 。 很 多 企业 也 对 此 进行 了 标准 化 管理 ， 
终端 的 便 件 配置 和 操作 系统 及 软件 环境 配置 管理 成 为 主要 功能 需求 点 。 在 此 之 上 实现 了 
杀毒 功能 .定期 更 新 补丁 和 软件 升级 . 目 动 化 配置 环境 变量 .标准 化 管理 .数据 泄露 保护 
(Data Leakage Prevention ,DLP) 等 安全 功能 ,但 这 些 并 没有 解决 实际 的 安全 问题 ,尤其 
在 终端 检测 与 啊 应 (Endpoint Detection and Response,EDR) 技 术 下 ,此 类 首 终 疹 也 需要 
在 安全 事件 响应 流程 中 配合 安全 事件 调查 。 终 端的 安全 问题 和 安全 事件 其 实 并 没有 在 虚 
拟 化 环境 中 消失 。 

在 实际 工作 中 ,很 多 企业 开始 把 终 闪 安全 管理 平台 或 者 系统 划 人 安全 部 门 、 信 息 安 全 
或 者 网 络 安全 部 门 ,而 不 再 只 由 运 维 部 门 管理 和 使 用 。 部 门 的 变化 和 职能 的 增加 让 终端 
安全 更 加 有 保障 。 同 时 , 频 党 出 现 的 钓鱼 邮件 、 勒 和 软件 .木马 及 系统 源 洞 匀 利 用 等 安全 
事件 也 不 再 替 扯 运 维 部 门 的 精力 ,终端 安全 开始 从 被 动 防御 过 渡 到 主动 检测 的 阶段 。 

威胁 捕获 及 终 闹 检测 技术 的 发 展 ,EDR 技术 的 大 量 使 用 ,如 何 合理 地 使 用 外 设 , 能 全 
从 安全 的 角度 审计 外 发 信息 ,能够 预 雹 . 阻 断 ,成 为 扩 术 全 发 重点 。EDR 产品 能 够 精确 定 
位 ,实时 获取 数据 和 文件 哈 希 值 , 更 加 有 效 和 高 效 地 定位 安全 问题 。 安 全 部 门 希 望 第 一 时 
间 定 位 安全 事件 发 生 的 终端 ,捕获 进程 ,攻取 文件 哈 锦 值 和 日 志 。 利 用 态势 感知 威胁 情 
报 等 进行 实时 的 大 数据 分 析 ,通过 实时 的 、 用 户 友 好 的 界面 展示 来 日 网 络 的 攻击 ,根据 检 
测 状态 进行 全 维度 的 逻辑 关系 可 视 化 显示 ,并 利用 人 工 智能 给 出 情报 管理 关系 图 ,提供 初 
步 的 处 理 建议 及 网 络 知 识 库 链接 ,以 帮助 安全 工程 师 尽 快 制定 合理 的 处 置 方 法 。 

从 上 述 内 容 可 以 看 出 ,国内 终端 安全 领域 需求 的 发 展 变 化 符合 需求 认 知 的 普 过 规律 ， 
从 一 无 所 知 .片面 认 知 到 逐渐 形成 清晰 .完整 的 需求 人 全貌。 随 着 近年 来 技术 的 快速 发 展 和 
移动 互联 网 的 普及 以 及 云 计 算 ,大 数据 和 人 工 智能 等 技术 的 突破 性 发 展 , 终 端 安 全 乃至 整 
个 信息 系统 安全 又 将 有 新 的 突破 。 

虽然 国内 终 闪 安 全 管理 意识 逐步 增强 ,但 是 仍然 表现 出 以 下 不 足 : 关注 较 多 ,实际 使 
用 较 少 ;终端 安全 管理 工具 较 多 ,管理 概念 较 少 ; 终 疹 安全 管理 制度 多 ,执行 力度 和 检验 手 
段 较 少 。 总 体 来 说 ,国内 终端 安全 管理 普 过 存在 以 下 问题 : 

(1) 终 吴 管理 软件 种 类 索 多 ,缺少 整合 。 由 于 传统 的 安全 管理 方式 的 影 啊 ,为 解决 各 
类 安全 问题 ,独立 安 竣 各 类 安全 软件 ,包括 杀毒 、 网 络 准 入 、 外 联 监控 等 软件 ,涉及 厂商 多 ， 
极 多 相互 影响 ,造成 终端 宪 机 、 蓝 屏 等 问题 , 排 障 难度 大 ,对 于 IT 运 维 人 员 而 言 , 运 维 压 
力 大 ,故障 难以 处 理 。 
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(3) 终端 使 用 人 员 类 型 广泛 ,信息 安全 常识 和 技术 水 平 不 一 。 使 用 终端 的 人 员 包 括 
专业 技术 人 员 和 普通 职员 ,各 类 人 员 掌 握 的 技术 和 信息 安全 常识 能 力 参差 不 齐 , 对 终端 使 
用 的 方式 也 不 尽 相同 ,因此 在 终端 使 用 过 程 中 出 现 的 问题 也 千差万别 。 运 维 人 员 面 临 工 
作 量 大 、 缺 乏 专业 知识 ` 工 作 效 率 低 的 困境 。 

(4) 终端 资产 种 类 庞杂 ,数量 众多 ,管理 流程 缺乏 统一 和 同步 。 终 端 在 使 用 过 程 中 存 
在 使 用 人 员 ,使 用 地 点 、 使 用 范围 的 变化 ,而 这 些 变化 需要 在 终端 资产 管理 中 得 以 体现 . 
对 终端 缺乏 有 效 的 准 入 管理 ,使 得 终端 在 使 用 过 程 中 发 生 的 变化 不 能 及 时 有 效 地 得 到 管 
控 , 从 而 带 来 安全 风险 ， 

(5) 终端 应 用 发 展 迅速 ,管理 理念 和 技术 滞后 。 巾 于 终端 的 普 适 性 ,终端 中 的 应 用 发 
展 迅速 ,各 种 应 用 技术 ,应 用 场景 层出不穷 ,传统 的 终端 安全 管理 的 方法 和 技术 的 发 展 相 
对 滞后 ,无 法 适应 终端 应 用 的 迅猛 发 展 。 


4.2.2 国外 终端 安全 管理 现状 


国外 信息 化 建设 起 步 早 ,而 且 是 从 军事 .政府 等 体制 化 .规模 化 的 管理 体系 逐渐 癌 企 
业 . 个 人 扩展 的 ,因此 终 痪 安全 管理 往往 呈现 系统 化 的 特性 。 

美国 政府 于 2007 年 3 月 提出 联邦 果 面 核心 配置 (Federal Desktop Core 
Configration,FDCC) 计 划 。 该 计划 由 美国 国家 标准 与 技术 俩 守 院 (NIST) 类 国联 邦 预 算 
管理 办 公 室 、 寺 国 国 土 安 全 局 .美国 内 政 部 .美国 国防 信息 系统 局 .美国 国家 安全 局 .类 国 
空 车 和 微软 公司 共同 负责 实施 ,通过 实现 计算 机 管理 的 统一 化 和 标准 化 , 旨 在 提高 美国 政 
府 机 构 计 算 机 终 关 的 安全 性 。 寺 国 空 盏 最 先 实 施 梨 面 核 心 配置 计划 并 取得 了 民 好 的 应 用 
效果 ,因此 美国 政府 规定 所 有 使 用 Windows 的 计算 机 必须 符合 FDCC 的 配置 要 求 。 经 过 
公开 征求 意见 ,NIST 于 2008 年 6 月 发 布 了 FDCC 1.0, 该 版 本 共有 674 条 策略 ,其 中 包括 
对 Windows XP、Windows Vista.IE 7 和 Windows 防火 增 的 配置 策略 。2009 年 4 月 ， 
NIST 发 布 了 FDCC 1.2 ,该 版 本 共有 658 条 束 略 。 一 般 来 说 ,FDCC 设置 会 阻止 操作 系统 
中 的 打开 连接 ,禁用 SOHO 环境 中 很 少 使 用 的 应 用 程序 ,禁用 不 必要 的 服务 ,包括 更 改 项 
目 权 限 、 更 改 收集 和 记录 日 志文 件 的 方式 、 更 改组 策略 对 千 设 置 和 更改 Windows 系统 注 
册 表 中 的 条 目 。 但 这 些 设置 并 不 一 定 都 适用 于 普通 终端 计算 机 ,FDCC 由 于 仅 适用 于 运 
行 Windows XP 和 Windows Vista 的 台式 机 和 笔记 本 电脑 ,已 被 美国 政府 于 2010 年 发 布 
的 美国 政府 配置 基线 (US Government Configuration Baseline, USGCB) 计 划 取 代 。 

USGCB 计划 将 配置 的 范围 扩展 到 政府 广泛 应 用 的 IT 产品, 并且 主 要 关注 安全 方面 
的 配置 。2010 年 9 月 ,NIST 发 布 了 USGCB 1.0, 其 中 包括 Windows 7、Windows 7 防火 
增 和 IE 8 的 安全 配置 案 略 。USGCB 也 计划 推出 MAC 操作 系统 和 RedHat 企业 版 系统 
的 配置 基线 。USGCB 是 FDCC 的 更 新 版 本 ,其 框架 与 FDCC 一 致 ,并 提供 与 FDCC 相同 
的 配置 数据 。 

ITIL(Information Technology Infrastructure Library ,信息 技术 基础 设施 库 ) 是 身 国 
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政府 中 央 计 算 与 电信 管理 局 (Central Computing and Telecommunications Agencvy， 
CCTA) 于 1989 年 初次 发 布 的 IT 服务 管理 的 最 佳 实践 指南 ,其 重点 在 于 使 IT 服务 与 业 
务 需 求 保 持 一 致 ,解决 IT 服务 质量 不 佳 的 情况 。2000 年 ,CCTA 发 布 ITIL 第 二 版 ,侧重 
于 与 服务 交付 和 支持 直接 相关 的 特定 活动 。2007 年 ,CCTA 发 布 ITIL 第 三 版 , 即 ITIL 
2007 ,对 服务 的 整个 生命 周期 提供 了 更 全 面 的 视角 ,涵盖 了 回 客 户 提 供 服 务 所 需 的 整个 
IT 组织 和 所 有 支持 组 件 。2011 年 ,CCTA 发 布 ITIL 2011, 包 括 5 个 核心 卷 , 每 个 核心 卷 
前 立 不 同 的 IT 服务 管理 生命 周期 阶段 。ITIL 框架 如 图 4-1 所 示 。 尽 管 ITIL 支持 ISO/ 
IEC 20000(BS 15000), 即 IT 服务 管理 的 国际 标准 ,但 ISO 20000 标准 和 ITIL 框架 之 间 
还 是 有 一 些 差异 。 


策略 设计 过 渡 操作 持续 改进 
(组 合 ) (产品 管理 ) (进化 ) (支持 ) (质量 ) 


过 渡 规 划 和 支持 
可 塑性 书 理 | | 人 质量 管理 系统 
- 


商务 组 合 礼 理 安全 官 理 管 CSI 商 业 问题 
变革 管理 
连续 性 审理 CSI 投 资 回报 率 


服务 验证 和 测试 
服务 目录 管理 服务 报告 


技术 管理 


图 4-1 ITIL 框架 


ITIL 自发 布 以 来 ,作为 IT 服务 管理 事实 上 的 国际 标准 ,已 经 在 全 球 得 到 认可 并 被 积 
极 推广 。 终 端 安 全 作为 信息 系统 信息 安全 组 成 的 环节 之 一 ,通过 与 网 络 管理 ,Web 安全 
防护 \、 人 侵 防 御 .杀毒 引擎 等 整合 ,解决 信息 系统 中 终端 安全 面临 的 安全 威胁 。 

在 IT 管理 过 程 中 ,注重 终端 的 资产 管理 .过 程 管理 和 策略 管理 ,关注 终端 资产 在 生 
命 周 期 中 的 使 用 状态 ,对 其 进行 严格 的 过 程 管 理 。 根 据 终 端 使 用 环境 、 最 终 用 户 、 业 务 内 
容 等 配置 相应 安全 策略 ,包括 准 入 控制 .权限 控制 等 进行 统一 的 管理 和 配置 。 终端 安 全 维 
护 工 作 ( 例 如 防 病毒 管理 ,补丁 管理 ,软件 分 发 等 ) 实 现 日 动 化 。 解 决 终 问 问题 时 有 完整 的 
知识 库 体 系 支 撑 ,IT 运 维 人 员 亲 循 知 识 库 流程 即 可 处 理 问 题 。 运 维 人 员 通 常 还 分 为 一 线 
文 持 和 二 线 文 持 ,一 线 文 持 (工程 师 ) 处 理 一 般 性 问题 ,如 果 一 线 文 持 解决 不 了 问题 ,可 以 
提交 给 二 线 文 持 ( 专 家 团队 ) ,形成 了 比较 完善 的 处 理 流 程 机 制 。 

以 下 是 大 型 企业 中 有 关 终 端的 典型 工作 处 理 流程 ,从 中 可 以 了 解 资产 管理 .过程 管 理 
的 基本 内 容 : 

(1) 根据 采购 计划 购置 新 的 计算 机 或 笔记 本 电脑 ,提交 给 IT 部 门 。 

(2) 根据 终端 使 用 申请 中 的 相关 要 求 ,制作 相应 的 操作 系统 镜像 文件 。 
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(3) 利用 网 络 引导 上 自动 完成 操作 系统 部 署 ( 可 批量 进行 ) ,减少 人 为 操作 带 来 的 配置 
更 改 工作 量 和 安全 风险 。 

(4) 交付 安装 好 的 终端 计算 机 或 笔记 本 电脑 给 终端 用 户 。 

(5) 终端 用 户 使 用 IT 部 门 分 配 的 账号 信息 登录 操作 系统 。 

(6) 在 登录 过 程 中 ,根据 终端 用 户 所 在 部 门 、 hla rll 
一 制定 的 软件 分 发 策略 强制 或 按 需 安装 应 用 程序 ,通过 统一 的 安全 策略 同步 操作 系统 的 
系统 安全 策略 。 

(7) 操作 系统 正 稼 运行 后 ,通过 客户 端 程序 在 后 台 持 续 监 控 .更 新 操作 系统 补丁 。 

(8) 对 终端 用 户 的 重要 数据 实时 备份 。 包 括 个 性 化 配置 和 数据 文件 ,备份 过 程 对 用 
户 透 明 ,无 须 用 户 干 预 ， 确保 在 操作 系统 前 演 或 者 硬件 损坏 时 不 丢失 重要 数据 。 

(9) 和 信息 。 定 期 统计 终端 软 硬 件 资 产 详 情 , 记 录 变 更 情况 并 及 时 通 
燥 系 统管 理 员 。 

(10) 当 终 端 出 现 使 用 问题 时 ,通过 远程 协助 功能 远程 接管 用 户 终端 ,对 故障 终端 进 
行 排 错 , 或 者 对 用 户 进行 使 用 培训 。 

(11) 当 操 作 系 统 损坏 .操作 系统 升级 失败 时 ,可 以 直接 利用 平台 的 镜像 部 署 机 制 , 通 
过 网 络 或 现场 引导 恢复 用 户 操作 系统 。 用 户 登 录 后 自动 恢复 所 有 的 个 性 化 配置 和 个 人 

(12) 当 终 端 便 件 无 法 使 用 或 达到 使 用 寿命 报废 时 ,取消 与 终端 用 户 的 关联 信息 
收 终 闪 资源 ,从 资产 系统 里 注销 相关 终 站 资产 。 

随 着 终端 安全 管理 理念 的 推广 和 应 用 ,国内 很 多 大 型 企 事业 单位 已 采用 类 似 的 工作 
流程 对 终端 安全 管理 过 程 进行 管控 。 
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根据 人 《中华 人民 共和 国 计 算 机 信息 系统 安全 保护 条 例 》( 国 务 院 令 第 147 号 ) 第 九条 
“计算 机 信息 系统 实行 安全 等 级 保护 之 要 求 " 制 定 发 布 的 强制 性 国家 标准 (计算 机 信息 系 
统 安 全 保护 等 级 划分 准则 》(GB 17859 一 1999) 为 计算 机 信息 系统 安全 保护 等 级 的 划分 瘟 
定 了 技术 基础 。《 国 家 信息 化 领导 小 组 关于 加 强 信 息 安 全 保障 工作 的 意见 》( 中 办 发 
L2003j27 号 ) 明 确 指 出 ,实现 信息 安全 等 级 保护 “要 重点 保护 基础 设施 网 络 和 关系 国家 安 


全 ,经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 系统 ,抓紧 建立 信息 安全 等 级 保护 制度 ”。 围 统 
相关 政 宋 法规 建 立 和 实施 的 标准 是 指 导 终 端 安全 管理 的 重要 依据 和 参考 体系 ,对 终 病 安 
全 管理 系统 的 设计 、 实 施 、 使 用 以 及 现 有 信息 系统 的 加 固 具 有 指导 意义 。 


以 下 列举 我 国 与 终 几 安全 管理 有 关 的 信息 安全 国家 标准 和 行业 标准 。 
4.3.1 国家 相关 标准 
1.《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999) 


该 标准 主要 为 终 闪 安全 提供 了 安全 参考 基准 。 其 主要 目的 有 3 个 : 一 是 为 计算 机 信 
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县 系统 安全 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ;二 是 为 安全 产品 的 研制 提供 拉 
术 文 持 : 三 是 为 安全 系统 的 建设 和 管理 提供 技术 指导 。 围 统 该 标准 制定 了 一 系列 标准 , 极 
具 标 杆 意 义 。 

该 标准 规定 了 计算 机 信息 系统 安全 保护 能 力 的 5 个 等 级 。 

第 一 级 : 用 户 自 主 保护 级 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 开通 过 隔离 用 户 与 数 
据 , 使 用 户 具 备 日 主 安全 保护 的 能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实 施 访 问 控 
制 , 即 为 用 户 提 供 可 行 的 手段 ,保护 用 户 和 用 户 组 信息 , 避 狗 其 他 用 户 对 数据 的 非法 读 写 
与 破坏 。 

第 二 级 : 系统 审计 保护 级 。 与 第 一 级 相 比 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 
了 粒度 更 细 的 和 目 主 访问 控制 , 它 通 过 登录 规程 .审计 安全 性 相关 事件 和 隅 离 资 源 , 使 用 户 
对 目 己 的 行为 负责 。 

第 三 级 : 安全 标记 保护 级 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 
的 所 有 功能 。 此 外 ,本 级 的 计算 机 信息 系统 还 需 提供 有 关 安 全 策略 模型 数据 标记 以 及 主 
体 对 客体 强制 访问 控制 的 非 形式 化 摘 述 ,具有 准确 地 标记 输出 信息 的 能 力 ,消除 通过 测试 
发 现 的 任何 错误 。 

第 四 级 : 结构 化 保护 级 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 在 一 个 明确 定义 的 
形式 化 安全 策略 模型 之 上 , 它 要 求 将 第 三 级 系统 中 的 目 主 和 强制 访问 控制 扩展 到 所 有 主 
体 与 客体 。 此 外 ,还 要 考虑 隐蔽 通道 如 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 
为 关键 保护 元 素 和 非 关 键 保护 元 素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定 
义 , 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 。 本 级 的 计算 机 信息 系统 加 强 
了 鉴别 机 制 , 文 持 系统 管理 员 和 操作 员 的 职能 ,提供 可 信 设 施 管理 ,增强 了 配置 管理 控制 ， 
系统 具有 相当 的 抗 渗透 能 力 。 

第 五 级 : 访问 验证 保护 级 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 3% 需 
求 。 访 问 监 控 右 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 号 是 抗 算 改 的 ,必须 足够 小 ， 
能 够 分 析 和 测试 。 为 了 满足 访问 监 探 需 的 需求 ,本 级 的 计算 机 信息 系统 可 信 计 算 基 在 构 
造 时 应 排除 那些 对 实施 安全 策略 来 说 并 非 必要 的 代码 ;在 设计 和 实现 时 ,从 系统 工程 角度 
将 其 复杂 性 降低 到 最 小 程度 。 本 级 的 计算 机 信息 系统 文 持 安全 管理 员 职 能 ,扩充 了 审计 


机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ,提供 系统 恢复 机 制 , 系 统 具 有 很 高 的 抗 渗透 
能 力 。 


2.《 信 息 安 全 技术 信息 系统 安全 等 级 保护 基本 要 求 》(GB/T 22239 一 2008) 
该 标准 规定 了 不 同安 全 保护 等 级 的 信息 系统 的 基本 保护 要 求 , 包 括 基 本 技术 要 求 和 
基本 管理 要 求 , 适 用 于 指 寻 分 等 级 的 信息 系统 的 安全 建设 和 监督 管理 。 基 本 技术 要 求 从 
物理 安全 .网络 安全 .主机 安全 .应 用 安全 和 数据 安全 几 个 层面 提出 ,基本 管理 要 求 从 安全 
管理 制度 .安全 管理 机 构 . 人 员 安 全 管理 .系统 建设 管理 和 系统 运 维 管理 几 个 方面 提出 。 


@ 可 信 计 算 基 : 计算 机 系统 内 保护 装置 的 总 体 , 包 括 人 硬件. 固件 .软件 和 负责 执行 安全 策略 的 组 合体 。 
加 隐蔽 信道 : 允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 信道 。 
加 ”访问 监控 器 : 监控 主体 和 客体 之 间 授 权 访 问 关 系 的 部 件 。 
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根据 信息 系统 在 国家 安全 、 经 济 建设 .社会 生活 中 的 重要 程度 ,但 到 破坏 后 对 国家 安全 、 社 
会 秩序 .公共 利益 以 及 公民 .法 人 和 其 他 组 织 的 合法 权益 的 危害 程度 等 ,将 信息 系统 的 安 
全 等 级 由 低 到 高 划分 为 5 级 。 

第 一 级 ; 应 能 够 防护 系统 人 免 受 来 日 个 人 的 、 拥 有 很 少帝 源 的 威胁 源 发 起 的 恶意 攻击 、 
一 般 的 目 然 灾 难 , 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 关键 质 源 损害 ,在 系统 遭 到 损害 
后 ,能 够 恢复 部 分 功能 。 

第 二 级 : 应 能 够 防护 系统 免 受 来 日 外 部 小 型 组 织 的 ,拥有 少量 资源 的 威胁 源 发 起 
的 恶意 攻击 、 一 般 的 目 然 灾难 ,以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 重要 黄 源 损害 ， 
能 够 发 现 重 要 的 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 在 一 段 时 间 内 恢复 部 
分 功能 。 

第 三 级 : 应 能 够 在 统一 安全 沫 略 下 防护 系统 免 受 来 目 外 部 有 组 织 的 团体 .拥有 较为 
丰 昂 资源 的 威胁 源 发 起 的 合意 攻击 、 较 为 贿 草 的 目 然 灾 甫 ,以 及 其 他 相当 危害 程度 的 威胁 
所 造成 的 主要 资源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 较 快 恢 
复 绝 大 部 分 功能 。 

第 四 级 : 应 能 够 在 统一 安全 划 略 下 防护 系统 饮 受 来 日 国家 级 别 的 、 政 对 组 织 的 、 拥 有 
在 资源 的 威胁 源 发 起 的 恶意 攻击 . 产 重 的 上 月 然 灾害 ,以 及 其 他 相当 危害 程度 的 威胁 所 造 
成 的 贰 源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 迅速 恢复 所 有 
功能 。 

第 五 级 通 和 是 涉 密 系统 ,不 属于 毅 见 的 等 级 保护 范围 ,因此 这 里 不 介绍 其 相关 要 求 。 


3.《 信 息 安 全 技术 信息 系统 安全 等 级 保护 实施 指南 》(GB/T 25058 一 2010) 

该 标准 规定 了 信息 系统 安全 等 级 保护 实施 的 过 程 , 适 用 于 指导 信息 系统 安全 等 级 保 
护 的 实施 。 在 实施 过 程 中 应 这 循 以 下 基本 原则 : 

(1) 目 主 保护 原则 。 信 息 系 统 运营 、 使 用 单位 及 其 主管 部 门 按照 国家 相关 法 规 和 标 
准 ,日 主 确定 信息 系统 的 安全 保护 等 级 ,日 行 组 织 实 施 安全 保护 。 

(2) 重点 保护 原则 。 根 据 信 息 系统 的 重要 程度 .业务 特点 ,通过 划分 不 同安 全 保护 等 
级 的 信息 系统 实现 不 同 强度 的 安全 保护 ,集中 资源 ,优先 保护 涉及 核心 业务 或 关键 信息 次 
产 的 信息 系统 。 

(3) 同步 建设 原则 。 信 息 系 统 在 新 建 、 改 建 . 扩 建 时 应 当 同 步 规 划 和 设计 安全 方案 ， 
投入 一 定 比 例 的 资金 建设 信息 安全 设施 ,保障 信息 安全 与 信息 化 建设 相 适 应 。 

(4) 动态 调整 原则 。 要 跟踪 信息 系统 的 变化 情况 ,调整 安全 保护 措施 。 由 于 信息 系 
统 的 应 用 类 型 .范围 等 条 件 的 变化 及 其 他 原因 而 需要 变更 安全 保护 等 级 时 ,应 当 根 据 信息 
系统 安全 等 级 保护 的 管理 规范 和 技术 标准 的 要 求 , 重 新 确定 信息 系统 的 安全 保护 等 级 ,并 
根据 信息 系统 安全 保护 等 级 的 调整 情况 重新 实施 安全 保护 。 

4.《 信 息 安 全 技术 信息 系统 等 级 保护 安全 设计 技术 要 求 》 

(GB/T 25070 一 2010) 

该 标准 依据 国家 信息 安全 等 级 保护 的 要 求 , 规 定 了 信息 系统 等 级 保护 安全 设计 技术 

要 求 , 适 用 于 指导 信息 系统 运营 使 用 单位 ,信息 安全 企业 ,信息 安全 防御 机 构 开 展 信息 系 
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统 每 级 保护 安全 技术 方案 的 设计 和 实施 ,也 可 作为 信息 安全 职能 部 门 进行 监督 检查 和 指 
导 的 依据 。 该 标准 规范 了 信息 系统 等 级 保护 安全 设计 技术 要 求 , 包 括 第 一 级 至 第 五 级 系统 
安全 保护 环境 的 安全 计算 环境 下 .安全 区 域 边 界 2 .安全 通信 网 络 2 和 安全 管理 中 心 量 等 方面 
的 设计 技术 要 求 , 以 及 定 级 系统 互联 旦 的 技术 要 求 。 进 行 信 息 系统 等 级 保护 安全 技术 设计 
时 ,要 求 根 据 信 息 系 统 定 级 情况 确定 相应 的 安全 策略 ,采取 相应 级 别 的 安全 保护 措施 。 

言 恩 系统 等 级 保护 安全 技术 设计 包括 各 级 系统 安全 保护 环境 的 设计 及 其 安全 互联 的 
设计 。 各 级 系统 安全 保护 环境 由 相应 级 别 的 安全 计算 环境 、 安 全 区 域 边界 .安全 通信 网 络 
和 安全 管理 中 心 组 成 , 定 级 系统 互联 由 安全 互联 部 件 和 路 定 级 系统 安全 管理 中 心 & 组 成 。 
信息 系统 等 级 保护 安全 技术 设计 如 图 4-2 所 示 。 


5.《 信 息 安 全 技术 信息 系统 通用 安全 技术 要 求 》(GB/T 20271 一 2006) 

该 标准 依据 GB 17859 一 1999 的 5 个 安全 保护 等 级 的 划分 ,规定 了 信息 系统 安全 所 
需要 的 安全 技术 的 各 个 安全 等 级 要 求 , 适 用 于 按 等 级 化 要 求 进行 的 安全 信息 系统 的 设计 
和 实现 , 按 等 级 化 要 求 进行 的 信息 系统 安全 的 测试 和 管理 可 参照 使 用 。 该 标准 对 信息 安 
全 等 级 保护 所 涉及 的 安全 功能 技术 要 求 和 安全 保证 技术 要 求 进行 了 比较 全 面 的 描述 , 按 
照 GB 17859 一 1999 的 5 个 安全 保护 等 级 ,对 每 一 个 安全 保护 等 级 的 安全 功能 技术 要 求 
和 安全 保 隐 技术 要 求 进行 了 详细 描述 。 

言 轧 系统 安全 设计 主要 相关 因素 总 体 上 包括 安全 风险 、 安 全 需求 和 安全 措施 3 部 分 。 
其 中 ,安全 风险 是 根据 风险 分 析 确 定 的 目标 信息 系统 在 安全 上 的 风险 程度 ,通常 用 风险 等 
级 表示 ;安全 需求 是 根据 安全 风险 产生 的 对 目标 信息 系统 或 安全 域 的 安全 要 求 ;安全 措施 
是 根据 安全 需求 产生 的 为 确保 目标 信息 系统 或 安全 域 达 到 应 用 的 安全 性 目标 应 采取 的 措 
施 , 包 括 安 全 技术 措施 和 安全 管理 措施 。 信 息 系 统 安全 设计 主要 相关 因素 及 其 相互 关系 
如 图 4-3 所 示 ， 

1) 风险 分 析 

信息 系统 的 安全 设计 从 风险 分 析 开 始 ,采用 风险 分 析 的 方法 ,通过 对 目标 信息 系统 或 
安全 域 的 资产 价值 、 面 临 威胁 、 目 号 安全 脆弱 性 的 评估 和 综合 分 析 , 确 定 信 息 系 统 或 安全 
域 的 安全 程度 等 级 。 上 述 3 个 因素 对 安全 风险 产生 的 影响 可 以 这 样 描述 : 对 同样 的 资产 
价值 ,威胁 越 大 则 安全 风险 越 大 ;对 同样 的 威胁 ,资产 价值 越 大 则 安全 风险 越 大 ;对 同样 的 


QD 安全 计算 环境 : 对 定 级 系统 的 信息 进行 人 存储、 处 理 及 实施 安全 策略 的 相关 部 件 。 安 全 计算 环境 按照 保护 能 力 划 
分 为 5 级 。 

回 ”安全 区 域 边 界 : 对 定 级 系统 的 安全 计算 环境 边界 以 及 安全 计算 环境 与 安全 通信 网 络 之 间 实 现 连 接 并 实施 安全 
策略 的 相关 部 件 。 安 全 区 域 边界 按照 保护 能 力 划 分 为 5 级 。 

图 ”安全 通信 网 络 : 对 定 级 系统 安全 计算 环境 之 间 进 行 信息 传输 及 实施 安全 策略 的 相关 部 件 。 安 全 通信 网 络 按照 
保护 能 力 划 分 为 5 级 。 

四 ”安全 管理 中 心 ; 对 定 级 系统 的 安全 管理 策略 及 安全 计算 环境 .安全 区 域 边界 和 安全 通信 网 络 上 的 安全 机 制 实施 
统一 管理 的 平台 。 第 二 级 及 第 二 级 以 上 的 定 级 系统 安全 保护 环境 需要 设置 安全 管理 中 心 。 

回 ” 征 级 系统 互联 : 通过 安全 互联 部 件 和 跨 定 级 系统 安全 管理 中 心 实现 的 相同 或 不 同等 级 的 定 级 系统 安全 保护 环 
境 之 间 的 安全 连接 。 

国 ” 跨 定 级 系统 安全 管理 中 心 : 是 对 相同 或 不 同等 级 的 定 级 系统 之 间 互 联 的 安全 策略 及 安全 互联 部 件 上 的 安全 
机 制 实施 统一 管理 的 平台 。 
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坟 | 剖 伐 纠 思 嵌 到 下 


定 级 系统 互 耿 


慰 | 这 人 棋 钊 二 骂 系 欣 


跨 定 级 系统 安全 管理 中 心 


息 系 统 等 级 保护 安全 技术 设计 框架 
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图 4-2 1 
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安全 措施 


风险 分 析 


= 
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安全 风险 


图 4-3 信息 系统 安全 设计 主要 相关 因素 及 其 相互 关系 


脆弱 性 ,威胁 越 大 则 安全 风险 越 大 ;对 同样 的 威胁 ,脆弱 性 越 大 则 安全 风险 越 大 。 一 般 而 
言 ,对 于 一 个 信息 系统 或 安全 域 , 其 资产 价值 是 确定 的 ,脆弱 性 是 客观 存在 的 ,威胁 则 与 信 
县 系统 或 安全 域 所 处 的 环境 和 条 件 有 关 。 风 险 分 析 的 过 程 就 是 对 资产 价值 .脆弱 性 和 威 
胁 进 行 评 佑 和 综合 分 析 的 过 程 , 并 由 此 确定 目标 信息 系统 或 安全 域 所 具有 的 安全 风险 
程度 。 

2) 安全 需求 

安全 需求 是 由 安全 风险 产生 的 , 它 要 说 明 以 下 内 容 : 根据 安全 风险 程度 ,目标 信息 系 
统 或 安全 域 需 要 从 哪些 方面 或 层次 进行 安全 防护 ,包括 内 部 和 边界 的 ,系统 的 和 应 用 的 ， 
等 等 ,相当 于 为 目标 信息 系统 或 安全 域 描述 一 个 安全 保护 轮廓 9 。 

3) 安全 指 施 

安全 措施 由 安全 需求 产生 , 它 要 说 明 以 下 内 容 : 根据 安全 需求 ,目标 信息 系统 或 安全 
域 应 采取 哪些 具体 的 安全 措施 来 达到 确定 的 安全 要 求 ,这 些 安 全 指 施 包括 安全 技术 措施 
和 安全 管理 措施 。 这 些 安 全 措施 用 以 对 抗 威 胁 , 改 进 脆 弱 性 和 对 资产 进行 保护 ,以 降低 安 
全 风险 。 采 取 安 全 措施 后 ,对 目标 信息 系统 或 安全 域 重 新 进行 风险 分 析 ,根据 剩余 风险 可 
接受 原则 ,不 断 优化 调整 并 重复 这 一 过 程 ,使 得 日 标 信息 系统 或 安全 域 达 到 要 求 的 安全 设 
计 目 标 。 

6.《 信 息 安 全 技术 操作 系统 安全 技术 要 求 》(GB/T 20272 一 2006) 

计算 机 操作 系统 是 信息 系统 的 重要 组 成 部 分 ,计算 机 操作 系统 的 主要 功能 是 对 计算 


D 保护 轮廓 : 详细 说 明 信 息 系统 安全 保护 需求 的 文档 。 
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机 资源 进行 管理 ,并 提供 用 户 使 用 计算 机 的 界面 。 控 作 系 统管 理 的 资源 包括 各 种 用 户 资 
源 和 计算 机 的 系统 资源 。 其 中 ,用 户 资 源 可 以 归结 为 以 文件 形式 表示 的 数据 信息 资源 ; 系 
统 资 源 包 括 系 统 程序 和 系统 数据 以 及 为 管理 计算 机 硬件 质 源 而 设置 的 各 种 文件 ,分 别称 
为 可 执行 文件 ,数据 文件 和 配置 文件 。 对 操作 系统 资源 的 保护 实际 上 是 对 操作 系统 中 文 
件 的 保护 。 由 于 操作 系统 在 计算 机 系统 中 占有 十 分 重要 的 地 位 ,因此 它 往往 成 为 攻击 和 
威胁 的 主要 目标 。 操 作 系统 安全 既 要 考虑 操作 系统 的 安全 运行 ,也 要 考虑 对 探 作 系统 质 
源 的 保护 。 由 于 攻击 和 威胁 可 能 是 针对 系统 运行 的 ,也 可 能 是 针对 信息 的 保密 性 、 完 整 性 


和 可 用 性 的 ,所 以 需要 从 操作 系统 的 安全 运行 和 操作 系统 数据 的 安全 保护 两 方面 综合 


该 标准 依据 GB 17859 一 1999 的 5 个 安全 保护 等 级 的 划分 ,根据 操作 系统 在 信息 系 
统 中 的 作用 ,规定 了 各 个 安全 保护 等 级 的 操作 系统 的 安全 功能 和 安全 保证 ,从 吴 份 鉴别 、 
日 主 访问 控制 .标记 、 踢 制 访问 控制 .数据 流 控制 审计、 数据 完整 性 .数据 保密 性 和 可 信 路 
径 等 方面 对 操作 系统 的 安全 功能 要 求 进行 具体 的 措 述 ,对 每 一 个 安全 保护 等 级 的 操作 系 
统 安全 子 系统 0 的 自身 安全 保护 ,设计 和 实现 ,安全 管理 进行 详细 的 说 明 。 该 标准 适用 于 
按 等 级 化 要 求 进行 的 操作 系统 安全 的 设计 和 实现 , 按 等 级 化 要 求 进行 的 操作 系统 安全 的 
测试 和 管理 可 参照 使 用 。 安 全 保护 等 级 .安全 功能 及 安全 保证 的 相互 关系 如 图 4-4 所 示 。 

安全 保护 等 级 


访问 验证 保护 级 


结构 化 保 扩 级 
| 3 明 
SE | 数 数 


安全 标记 保护 级 吊 雪 和 笋 
| 女 折 下 项 

系统 审计 你 护 级 上 份 问 间 流 完 保 信 
，、，  、 鉴 控 标 控 控 审 整 密 路 
用 户 日 主 保护 级 广 别 制 记 制 制 计 性 性 径 


安全 功能 
操作 系统 安全 子 系统 目 吴 安全 保护 
操作 系统 安全 子 系统 设计 和 实现 
操作 系统 安全 子 系统 安全 管理 
安全 保证 

图 44 安全 保护 等 级 .安全 功能 及 安全 保证 的 相互 关系 


7.《 信 息 安全 技术 网 络 和 终端 隔离 产品 安全 技术 要 求 XGB/T 20279 一 2015) 

该 标准 规定 了 网 络 和 终端 隔离 产品 的 安全 功能 要 求 、 安全 保证 要 求 .环境 适应 性 要 求 
及 性 能 要 求 ,适用 于 网 络 和 终 闪 隔离 产品 的 设计 、 开 发 与 测试 。 

网 络 和 终端 隔离 产品 从 形态 和 功能 上 可 以 划分 为 终端 隔离 产品 、 网络 隔 离 产 品 和 网 


@ ”操作 系统 安全 子 系统 : 操作 系统 中 安全 保护 装置 的 总 称 , 包 括 硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合 
体 , 它 建立 了 一 个 基本 的 操作 总 体 安全 保护 环境 ,并 提供 安全 操作 系统 要 求 的 附加 用 户 服务 ,可 以 理解 为 操作 系统 的 
可 信 计 算 基 ， 
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络 单 向 导入 产品 3 类 ,目的 是 在 不 同 的 网 络 终端 和 网 络 安全 域 之 间 建立 安全 控制 点 ,实现 
在 不 同 的 网 络 终端 和 网 络 安全 域 之 间 提 供 访问 可 控 的 服务 。 网 络 和 终端 隔离 产品 保护 的 
资产 是 受 安全 策略 保护 的 网 络 服务 和 资源 等 ,此 外 ,网 络 和 终端 隔离 产品 本 身 及 其 内 部 的 
重要 数据 也 是 受 保护 的 资产 。 

终端 隔离 产品 一 般 以 隔离 卡 的 方式 接 入 目标 主机 。 图 4-5 为 终端 隔离 产品 的 典型 运 
行 环境 ,隔离 卡通 过 电子 开关 以 互 斥 形式 连通 安全 域 A 中 的 硬盘 1 或 者 安全 域 B 中 的 硬 
盘 2, 实 现 两 个 安全 域 的 物理 隔离 。 该 类 产品 可 以 独立 于 主机 ,也 可 整合 到 主机 中 ,以 整 
机 形式 出 现 。 
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安全 域 B 
图 4-5 终端 隔离 产品 典型 运行 环境 


网 络 隔离 产品 用 于 连接 两 个 不 同 的 安全 域 , 实 现 两 个 安全 域 之 则 应 用 代理 服务 .协议 
转换 .信息 流 访问 控制 .内 容 过 滤 和 信息 交换 等 功能 。 网 络 隔离 产品 中 的 内 、 外 部 处 理 单 
元 通过 专用 隅 离 部 件 相 连 , 既 可 以 是 包含 电子 开关 控制 多 辑 的 专用 隅 离心 片 构成 的 隅 离 
区 换 板 卡 , 也 可 以 是 经 过 安全 强化 的 运行 专用 信息 传输 逻辑 控制 程序 的 主机 。 网 络 隔离 
产品 是 两 个 安全 域 之 间 唯 一 的 可 信物 理 信道 。 图 4-6 为 网 络 隔离 产品 的 典型 运行 环境 。 


人 信安 全 域 B 安全 域 A( 
SS No 


网 络 隅 离 产 品 
| | mn 一 站 一 是 一 
一 二 一 一 一 | | 
客户 端 服务 器 


务 瘟 
图 4-6 网 络 隔离 产品 的 典型 运行 环境 


网 络 单 问 导 和 产品 部 普 在 两 个 安全 域 之 间 ,采用 单 四 传输 部 件 连接 这 两 个 安全 域 , 利 

用 单 站 传输 的 物理 特性 建立 两 个 安全 域 之 间 唯 一 的 单 癌 传输 通道 ,数据 在 这 个 通道 中 只 

能 沿 从 数据 发 送 处 理 单元 到 数据 接收 人 处理 单元 方 咎 的 可 信和 路 径 单 向 传输 ,无 任何 反馈 信 

号 。 单 问 传 葵 部 件 由 单 癌 发 送 部 件 和 单 同 接收 部 件 构成 , 单 丫 发送 部 件 安 半 在 数据 发 送 
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处 理 单元 中 , 单 回 接收 部 件 安 凌 在 数据 接收 处 理 单 元 中 。 单 问 传 输 部 件 的 单 四 物理 传输 
特性 是 固化 的 ,不 可 修改 ,任何 软件 配置 物理 跳 线 等 方式 部 不 能 更 改 其 部 件 的 单 回 传输 
特性 以 及 传输 方向 ,从 而 实现 数据 单 门 导 人 的 
可 徘 性 。 图 4-7 为 网 络 单 同 导 入 产品 的 典型 运 
行 环境 。 

该 标准 将 网 络 和 终端 隔离 产品 安全 技术 要 
求 分 为 安全 功能 、 安 全 保证 \ 环 境 适 用 性 和 性 能 
要 求 4 个 大 类 。 其 中 ,安全 功能 要 求 是 对 网 络 
和 终 冰 隅 离 产品 应 具备 的 安全 功能 提出 的 具体 
要 求 , 对 终 山 隔离 产品 的 具体 要 求 包 括 访 问 欣 
制 、 不 可 和 劳 路 和 客体 重用 ,对 网 络 隔离 产品 的 具 
体 要 求 包括 访问 控制 、 抗 攻击 、 安 全 管理 ,标识 
和 鉴别 .审计 、 域 隔离 容错、 数据 完整 性 和 密 人 码 文 持 , 对 网 络 单 回 导 入 产品 的 具体 要 求 包 
括 访 问 控 制 . 抗 攻击 、 安 全 管理 .标识 和 鉴别 .审计 、 域 隔离 .配置 数据 保护 和 运行 状态 监 
测 。 安 全 保证 要 求 针 对 网 络 和 终 病 隔离 产品 的 开发 和 使 用 文档 的 内 容 提 出 具体 的 要 求 ， 
例如 配置 管理 .交付 和 运行 .开发 和 指导 性 文档 等 。 环 境 适 用 性 要 求 是 对 网 络 和 终端 隅 离 
产品 的 应 用 环境 提出 具体 的 要 求 。 性 能 要 求 则 是 对 网 络 和 终 病 隔离 产品 应 达到 的 性 能 指 
标 作 出 规定 ,包括 交换 速率 和 人 硬件 切换 时 间 等 。 


8.《 信 息 安全 技术 政府 联网 计算 机 终端 安全 管理 基本 要 求 》 

(GB/T 32925 一 2016) 

该 标准 是 《信息 安全 技术 政府 部 门 信息 安全 管理 基本 要 求 》CGB/ 工 29245 一 2012 ) 
框架 下 的 政府 部 门 信息 安全 保证 体系 的 组 成 部 分 ,用 于 指导 各 级 政府 部 门 对 所 管辖 范围 
内 联网 计算 机 终端 的 管理 和 安全 检查 工作 ,使 其 具备 一 定 的 安全 防护 能 力 。 该 标准 规定 
了 对 政府 部 门 联网 计算 机 终 问 的 安全 要 求 ,适用 于 政府 部 门 开 展 联网 计算 机 终 问 安全 配 
置 、 使 用 、 维 护 与 管理 工作 。 联 网 计算 机 终端 的 安全 策略 应 是 组 织 机 构 总 体 信 息 安 全 策略 
的 重要 组 成 部 分 ,并 为 组 织 机 构 的 信息 安全 总 体 目标 服务 。 安 全 策略 的 制定 应 从 人 员 管 
理 、 资 产 管理 ,软件 管理 , 接 入 安全 、 运 行 安 全 、BIOS 配置 要 求 等 方面 综合 考虑 。 


9.《 信 息 安全 技术 政务 计算 机 终端 核心 配置 规范 (GB/T 30278 一 2013) 

该 标准 规定 了 政务 计算 机 终端 核心 配置 的 基本 概念 和 要 求 、 核 心 配置 的 自动 化 实现 
方法 ,规范 了 核心 配置 实施 流程 ,适用 于 政务 部 门 开展 计算 机 终端 的 核心 配置 工作 。 核 心 
配置 范围 包括 操作 系统 、 办 公 软 件 . 训 览 器 软件 .邮件 系统 软件 .BIOS 系统 软件 、 防 恶意 
代码 软件 等 ,此 类 基础 软件 应 符合 如 下 配置 要 求 : 

(1) 身份 鉴别 。 包 括 账 户 登 录 和 口令 管理 。 

(2) 访问 控制 。 包 括 账 户 管理 和 权限 分 配 。 

(3) 安全 审计 。 包 括 账 户 行 为 审计 和 资源 访问 审计 。 

(4) 剩余 信息 保护 。 包 括 临 时 文件 .历史 文件 和 虚拟 文件 管理 。 

(5) 入 侵 防范 。 包 括 对 组 件 的 保护 功能 开局 和 应 用 程序 的 更 新 、 升 级 。 


有 
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(6) 恶意 代码 防范 。 包 括 杀 毒 软件 的 安装 、 升 级 和 病毒 查 杀 管理 。 
(7) 资源 控制 。 包 括 服务 ,端口 .协议 等 资源 管理 和 数据 的 加 密 保 护 。 


10.《 信 息 安全 技术 计算 机 终端 核心 配置 基线 结构 规 学》 

(GB/T 35283—2017) 

该 标准 规定 了 计算 机 终 问 核心 配置 茜 线 的 基本 要 素 ,规范 了 基于 XML 的 核心 配置 
基线 标记 规则 ,适用 于 计算 机 终端 的 核心 配置 自动 化 工作 ,包括 计算 机 终端 核心 配置 自动 
化 工具 的 设计 .开发 和 应 用 。 

核心 配置 基线 主要 包括 如 下 4 个 基本 要 素 : 

(1) 产品 信息 。 主 要 描述 基线 适用 的 操作 系统 或 软件 环境 例如 ,操作 系统 版 本 、 软 件 
名 称 等 ,一般 不 同 的 产品 对 应 不 同 的 基线 。 

(2) 配置 项 信息 。 是 核心 配置 基线 的 基本 构成 元 素 , 主 要 摘 述 配置 项 的 内 容 . 取 信和 
检查 规则 等 属性 。 

(3) 配置 组 信息 。 主 要 对 基线 中 所 有 配置 项 按照 安全 功能 进行 分 组 ,一 条 核心 配置 
基线 通常 包含 多 个 配置 组 ,一 个 配置 组 包含 多 个 配置 项 。 

(4) 版 本 信息 。 主 要 标识 一 条 核心 配置 基线 的 结构 或 内 容 经 过 修改 变化 的 过 程 , 例 
如 基线 格式 版 本 .基线 版 本 .配置 组 版 本 、 II 品 版 本 等 。 

产品 信息 .配置 项 信息 .配置 组 信息 和 版 本 信息 这 4 个 基线 要 素 的 关系 如 图 4-8 
所 示 。 


基线 
包 合 包含 
包含 | | 描述 
描述 . 描述 | 
配置 组 信息 产品 信息 
包含 描述 


配置 项 信息 
图 4-8 4 个 基线 要 素 的 关系 


核 ， 配置 基 安 大 一 种 散人 黎 式 御 构 的 数据 文件 ,主要 采用 XML (Extensible Markup 
Language, 可 扩展 标记 语言 ) 格 式 对 核心 配置 项 的 属性 进行 规范 性 标记 ,根据 GB/T 
19667.1 一 2005 第 八 草 的 规定 ,完整 的 核心 配置 基线 可 表示 为 7 层 元 素 艇 套 结构 ,其 结构 
如 图 4-9 所 示 。 每 层 元 素 中 由 上 展 元 系 衍 生出 来 的 元 系 称 为 上 层 元 际 的 子 元 素 。 适 用 产 
项 标记 主要 摘 述 产品 要 素 ; 配 置 组 别 主 要 摘 述 配置 组 要 素 ; 配 置 项 内 容 标记 主要 用 于 摘 述 
配置 项 要 系 ;基线 版 本 编号 标记 、 配 置 组 版 本 编号 标记 、 配 置 项 版 本 编号 标记 和 操作 系统 
版 本 标记 分 别 摘 述 基线 .配置 组 .配置 项 和 操作 系统 的 版 本 要 素 。 计 算 机 核心 配置 基线 的 
结构 及 各 层 元 素 的 标记 规则 是 制定 核心 配置 基线 的 基础 ,需要 根据 组 织 机 构 的 信息 系统 
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安全 你 护 要 求 制 定 基线 ,并 对 计算 机 终 问 进行 日 动 化 核心 配置 部 著 和 合 规 性 管理 。 


人 版 本 编号 标记 
格式 版 
和 TIE 人 解 释 说 明 标记 [发 布 者 标记 
版 本 控制 标记 “4 ”初始 版 本 标识 标记 
基线 状态 标记 “| 修订 版 本 次 数 标记 
基线 主 
体 标记 | ”基线 版 本 编号 标记 
解释 说 明 标记 
配置 项 版 本 
编号 标记 
解释 说 明 标 记 
赋值 路 径 标记 
默认 值 标记 
配置 项 内 4 脆弱 性 标记 
基线 主 容 标记 设置 信息 标记 ee = 
核心 配置 体 标记 DE 
基线 标记 配置 组 别 标记 4 配置 项 信息 标记 
取 值 范围 标记 
计量 单位 标记 
取 值 映 射 表 标记 
配置 项 赋 本 
取 值 数 据 类 型 标记 
配置 项 取 WMI 取 值 信息 标记 
值 标 记 注册 表 取 值 信 息 标记 
号 奋 组 版 本 编 标 记 时 本 取 值 信息 标记 
检查 信息 标记 
操作 系统 版 本 标记 
适用 产 


产品 安装 信息 标记 
自 定义 产品 安装 信息 标记 一 产品 脚本 标记 
图 4-9 核心 配置 基线 结构 


” 呈 标 记 


11.《 信 息 安全 技术 终端 计算 机 通用 安全 技术 要 求 与 测试 评价 方法 》 


(GB/T 29240 一 2012) 


该 标准 按照 国家 信息 安全 保护 等 级 的 要 求 ,规定 了 终 中 计算 机 的 安全 技术 要 求 和 测 
试 评价 方 法 ,适用 于 指导 终 病 计算 机 的 设计 生产 企业 ,使 用 单位 和 信息 安全 服务 机 构 实 施 


终 半 计算 机 等 级 保护 安全 技术 的 设计 、 实 现 和 评 佑 工作 。 


该 标准 包含 两 部 分 内 容 。 一 部 分 是 终端 计算 机 的 通用 安全 技术 要 求 , 用 以 指导 设计 


是 这 


| 


终端 安全 管理 


可 


者 如 何 设计 和 实现 终端 计算 机 ,使 其 达到 信息 系统 所 需 安 全 保护 等 级 ,主要 从 信息 系统 安 
全 保护 等 级 划分 的 角度 来 说 明 对 终端 计算 机 的 通用 安全 技术 要 求 和 测试 评价 方法 ,主要 
说 明 终 端 计算 机 为 实现 GB 17859 一 1999 中 每 一 个 安全 保护 等 级 的 安全 要 求 应 采取 的 安 
全 技术 措施 。 另 一 部 分 是 依据 技术 要 求 , 提 出 具体 的 测试 评价 方法 ,用 以 指导 评估 者 对 各 
安全 等 级 的 终端 计算 机 进行 评估 ,同时 也 对 终端 计算 机 的 开发 者 起 到 指导 作用 。 


12.《 信 息 安 全 技术 信息 系统 物理 安全 技术 要 求 》(GB/T 21052 一 2007) 

传统 意义 的 物理 安全 包括 设备 安全 ,环境 安全 以 及 介质 安全 ， 

设备 安全 的 安全 技术 要 素 包 括 设备 的 标志 和 标记 、 防 止 电磁 泄漏 . 抗 电磁 干扰 .电源 
保护 以 及 设备 振动 .碰撞 .冲击 适应 性 等 方面 。 

环境 安全 的 安全 拉 术 要 求 包括 机 房 场地 选择 .机房 屏 蔽 防火、 防水 、 防 雷 、 防 鼠 、 防 咨 
防 毁 . 供 配 电 系 统 .空调 系统 .综合 布线 .区域 防护 等 方面 。 

介质 安全 的 安全 扩 术 要 素 包 括 介 质 上 和 目 身 安全 以 及 介质 数据 的 安全 。 

上 述 物 理 安 全 涉及 的 安全 技术 解决 了 由 于 设备 、 环境 .介质 的 人 硬件 条 件 引 发 的 信息 系 
统 物 理 安全 威胁 问题 。 从 系统 的 角度 来 看 ,这 一 层面 的 物理 安全 是 狭义 的 物理 安全 ,是 物 
理 安 全 的 最 基本 内 容 。 

广义 的 物理 安全 还 应 包括 由 软件 .人 硬件 、 操 作 人 员 组 成 的 整体 信息 系统 的 物理 安全 ， 
即 系统 物理 安全 。 从 物理 层面 出 发 ,系统 物理 安全 技术 应 确保 系统 的 保密 性 、 完 整 性 和 可 
用 性 。 可 以 通过 边界 保护 .配置 管理 .设备 管理 等 措施 确保 信息 系统 的 保密 性 ,通过 设备 
访问 控制 .边界 保护 、 设备 及 网 络 资 源 管理 等 措施 确保 信息 系统 的 完整 性 ,通过 容错 故障 
恢复 .系统 灾难 备份 等 措施 确保 信息 系统 的 可 用 性 。 信 息 系 统 物理 安全 概述 如 图 4-10 
所 示 。 


信息 系统 安全 


广义 物理 安全 
(系统 物理 安全 ) 


” 介质 安全 
图 4-10 ”信息 系统 物理 安全 概念 示意 图 


该 标准 规定 了 信息 系统 物理 安全 的 分 等 级 技术 要 求 ,适用 于 按 GB 17859 一 1999 的 
安全 保护 等 级 要 求 所 进行 的 等 级 化 的 信息 系统 物理 安全 的 设计 和 实现 , 按 GB 17859 一 


1999 的 安全 保护 等 级 的 要 求 对 信息 系统 物理 安全 进行 的 测试 .管理 可 参照 使 用 。 根 据 适 
度 保 护 原 则 ,将 物理 安全 技术 等 级 分 为 5 级 ,每 一 级 又 分 为 设备 物理 安全 、 环 境 物 理 安全 
和 系统 物理 安全 。 

该 标准 提出 的 技术 要 求 包括 3 个 方面 : 

(1) 信息 系统 的 配套 部 件 .设备 安全 技术 要 求 。 

(2) 信息 系统 所 处 物理 环境 的 安全 技术 要 求 。 
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(3) 保障 信息 系统 可 徘 运行 的 物理 安全 技术 要 求 。 

设备 物理 安全 .环境 物理 安全 及 系统 物理 安全 的 安全 等 级 技术 要 求 构成 了 为 保护 信 
息 系统 安全 运行 所 必须 满足 的 基本 的 物理 技术 要 求 。 

4.3.2 行业 相关 标准 

1. 金融 行业 

《金融 机 构 计 算 机 信息 系统 安全 保护 工作 暂行 规定 》 是 为 加 强 金 融 机 构 计 算 机 信息 系 
统 安 全 保护 工作 ,保障 国家 财产 的 安全 ,保证 金融 事业 的 顺利 发 展 ,根据 (中华 人民 共 和 国 
中 国人 民 银 行 法 》 和 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 等 有 关 法 律 ,法 规制 
定 的 。 它 对 于 金融 机 构 的 计算 机 信息 系统 安全 防范 措施 ,包括 计算 机 主机 房 的 构筑 防护 
设施 和 计算 机 信息 系统 及 其 相关 的 配套 设备 的 技术 防护 设施 提出 了 基本 要 求 。 

《中 国人 民 银 行 计算 机 安全 管理 暂行 规定 》 是 为 加 强 中 国人 民 银 行 计算 机 信息 系统 安 
全 保护 工作 ,保障 中 国人 民 银 行 计算 机 信息 系统 安全 ,稳定 运行 ,根据 《中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》 和 《金融 机 构 计 算 机 信息 安全 保护 工作 暂行 规定 》 等 有 关 法 
律 法规 制定 的 。 它 对 计算 机 信息 系统 建设 安全 管理 以 及 运行 安全 管理 ,包括 终端 运行 的 
机 房 安 全 管理 .网 络 安全 管理 等 提出 了 相关 要 求 , 规 范 了 中 国人 民 银 行 关 于 计算 机 终端 安 
全 的 相关 内 容 , 并 可 作为 其 他 银行 制定 相关 规范 的 参考 。 

2. 政府 机 关 

《信息 安全 技术 终端 接 入 控制 产品 安全 技术 要 求 》(GA/T 1105 一 2013) 规 定 了 终端 
接 入 控制 产品 的 安全 功能 要 求 .自身 安全 功能 要 求 、 安 全 保证 要 求 和 等 级 划分 要 求 , 适 用 
于 终端 接 人 控制 产品 的 设计 、 开 发 及 检测 。 

《信息 安全 技术 终端 计算 机 系统 安全 等 级 技术 要 求 》(GA/VT 671 一 2006) 规 定 了 对 终 
端 计算 机 系统 进行 安全 等 级 保护 所 需要 的 安全 技术 要 求 ,并 给 出 了 每 一 个 安全 保护 等 级 
的 不 同 技术 要 求 。 

《公安 信息 网 计算 机 操作 系统 安全 配置 基本 要 求 站 (GA/T 1252 一 2015) 规 定 了 公安 信 
息 网 计算 机 终端 和 服务 器 操作 系统 的 身份 鉴别 .访问 控制 .资源 控制 .人 侵 防 范 、 剩 余 信息 
清除 .应 用 安全 和 安全 审计 等 安全 配置 基本 要 求 , 适 用 于 公安 信息 网 计算 机 终端 和 服务 器 
操作 系统 的 安全 管理 。 

3. 通信 行业 

《电信 网 和 互联 网 安全 防护 基线 配置 要 求 及 检测 要 求 : 操作 系统 》(YD/T 2701 一 
2014) 规 定 了 电信 网 和 互联 网 中 所 使 用 的 操作 系统 在 安全 配置 方面 的 基本 要 求 及 检测 要 
求 ,特别 是 Windows 操作 系统 、Linux 操作 系统 、Solaris 操作 系统 、HP-UX 操作 系统 、 
AIX 操作 系统 在 安全 配置 方面 的 基本 要 求 及 参考 操作 。 本 标准 适用 于 安全 防护 体系 中 
使 用 Windows 操作 系统 .Linux 操作 系统 .Solaris 操作 系统 .HP-UX 操作 系统 以 及 AIX 
操作 系统 的 所 有 安全 防护 等 级 的 网 络 和 系统 。 

《电信 网 和 互联 网 安全 风险 评估 实施 指南 》(YDVT 1730 一 2008) 规 定 了 对 电信 网 和 互 
联网 安全 进行 风险 评 佑 的 要 素 及 要 素 之 间 的 关系 .实施 流程 .工作 形式 . 鞍 循 的 原则 ,在 电 
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信和 网 和 互联 网 生命 周期 不 同 阶 段 的 不 同 要 求 和 实施 要 点 ,对 安全 风险 管理 中 的 终端 安全 
有 指导 性 作用 。 


44 ”终端 安全 管理 展望 


4.4.1 管理 


于 恩 安 全 管理 体系 在 本 质 上 是 为 了 解决 安全 风 隘 管理 问题 。 终 病 安 全 的 问题 同样 适 
用 风险 管理 体系 进行 分 析 , 从 而 构建 终端 安全 风险 体系 。 利 用 信息 安全 风险 评估 相关 拉 
术 和 管理 标准 ,对 终 闯 及 其 关联 元 素 所 面临 的 安全 威胁 等 进行 分 析 ,依据 实际 的 应 用 场景 
构建 终端 安全 风险 管理 体系 ,其 中 包含 终 问 安全 风险 管理 组 织 体系 、 终 冲 安 全 风险 芝 略 管 
理 体 系 . 终 闪 安全 风险 运 维 管理 体系 . 终 痪 安全 风险 管理 技术 以 构 等 方面 的 内 容 。 涉 及 信 
恩 安 全 风险 管理 部 分 的 内 容 可 参考 相关 书籍 深入 学 习 。 


4.4.2 技术 


在 信息 技术 领域 快速 发 展 的 云 计算 、 大 数据 、 虚 拟 化 以 及 人 工 智能 技术 的 壬 大 突破 ， 
者 将 对 终 问 安全 产生 极 大 影响 。 结 合 国家 的 “ 目 主 可 探 ” 和 “互联 网 十 ”战略 , 终 并 安 全 管 
理 产 品 必 将 出 现 站 覆 式 的 创新 升级 。 未 来 终 问 安全 产品 发 展 趋势 主要 如 下 : 

(1) 统一 平台 ,对 不 同 的 终 问 类 型 进行 统一 省 理 ,并 提供 全 功能 害 冀 的 管理 平台 。 人 和 针 
对 终 关 面 临 的 各 类 安全 威胁 , 终 病 安全 管理 产品 已 出 现 整合 的 趋势 ,通过 统一 管理 的 杀 
毒 、 和 补丁 省 理 ,安全 素 略 \ 准 入 控制 外 联 管控 、 外 设 管 理 等 一 系列 功能 构建 一 体 化 平台 ,对 
终 病 进行 标准 统一 的 管理 ,是 未 来 产品 的 重要 发 展 方 门 。 

(2) 利用 云 平台 、 大 数据 技术 并 结合 人 工 重 能 的 态势 感知、 威胁 情报 分 析 等 技术 , 形 
成 对 终 奖 行为 的 模式 分 析 和 精准 识别 ,从 传统 的 被 动 防御 转变 为 主动 防御 ,实现 终 妆 防御 
己 知 和 未 各 的 安全 威胁 的 目的 。 


45 _ _ 习 十 


. 个 人 终端 与 企业 终端 的 区 别 是 什么 ? 
. 企业 安全 边界 的 工作 重点 有 哪些 ? 
. 终 交 安 全 管理 的 内 容 是 什么 ? 通 币 采用 什么 模型 进行 管理 ? 
. 调研 当前 有 哪些 终 问 安全 管理 产品 。 
5. 学 习 《 信 息 安 全 技术 信息 系统 安全 等 级 保护 基本 要 求 》 和 《信息 安全 技术 信息 系 
统 安全 等 级 你 护 实 施 指南 》, 傈 述 信息 安全 等 级 你 护 的 等 级 划分 和 各 等 级 之 间 的 区 别 。 
6. 在 信息 系统 安全 登记 你 护 实 施 过 程 中 应 草 循 哪些 原则 ? 


> co ie 5 
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第 S 音 
下 终端 安全 管理 措施 


一 个 复杂 的 信息 系统 可 以 由 若干 个 分 系统 或 子 系统 组 成 。 无 论 从 全 系统 、 分 系统 还 
是 子 系统 的 角度 ,信息 系统 一 般 都 由 文 持 软件 运行 的 便 件 系统 .对 系统 资源 进行 管理 和 为 
用 户 使 用 提供 基本 支持 的 系统 软件 以 及 实现 信息 系统 应 用 功能 的 应 用 系统 软件 等 组 成 。 
这 些 人 硬件 和 软件 协作 运行 ,实现 信息 系统 的 整体 功能 。 从 安全 角度 而 言 , 组 成 信息 系统 各 
下 确保 在 其 所 管辖 范围 内 的 信息 安全 和 提供 
确定 的 服务 。 这 些 安全 功能 可 分 为 4 个 层面 : 确保 硬件 系统 安全 的 物理 安全 ,确保 数据 
网 上 传输 、 交换 安 全 的 网 络 安全 ,确保 操作 系统 安全 的 系统 安全 ,确保 应 用 软件 安全 运行 
的 应 用 安全 。 这 4 个 层面 再 加 上 为 保障 其 安全 功能 达到 应 用 的 安全 性 必须 采取 的 管理 措 
施 ,构成 了 信息 系统 安全 的 5 个 层面 。 为 实现 信息 系统 的 安全 ,对 信息 系统 中 的 重要 组 成 
部 分 一 一 终端 也 要 有 相应 的 安全 管理 措施 。 

为 实现 终端 安全 ,需要 建立 立体 的 安全 防护 体系 ,以 应 对 终 病 面临 的 各 类 威胁 。 终 并 
安全 管理 平台 是 终端 安全 管理 实施 中 重要 的 技术 文 撑 平台 ,通过 协调 统一 的 安全 管理 技 
术 对 终端 信息 进行 全 面 管理 。 为 了 获取 终 端 的 实际 工作 状态 , 通 凋 终端 安全 管理 均 采 用 
客户 /服务 需 方 式 ,在 终端 中 安 半 由 信息 系统 安全 管理 中 心 制 定 、 下 发 的 安全 防护 条 略 , 终 
端 中 的 客户 端 按 照 安 全 防护 策略 中 的 相关 规则 ,对 终端 中 的 进程 .服务 、 接 口外 部 设备 进 
行 管控 ,并 获取 终端 的 硬件 .软件 资产 信息 ,提供 病毒 防御 、 补丁 管理 、 终 靖 准 人 、 安 全 审 
计 渊源 追踪 等 功能 ,依托 云端 大 数据 的 海量 数据 分 析 , 对 已 知 和 未 知 的 安全 威胁 进行 


5.1 环境 党 理 


我 国 在 2007 年 制定 .2008 年 实施 的 《信息 安全 技术 信息 系统 物理 安全 技术 要 求 》 
(GB/ 工 21052 一 2007) 中 对 信息 系统 的 物理 安全 作 了 相关 规定 。 环 境 管理 主要 从 终端 的 
物理 安全 方面 考量 ,涉及 整个 系统 的 配套 部 件 .设备 和 设施 的 安全 性 能 ,所 处 的 环境 安全 ， 
以 及 整个 系统 可 徘 运 行 等 方面 ,是 信息 系统 安全 运行 的 基本 保障 。 

终端 的 物理 安全 : 管理 措施 是 为 了 保证 信息 系统 安全 、 可 徘 运 行 ,确保 信息 系统 在 对 信 
上 县 进行 采集 、 处理、 传输 .存储 过 程 中 不 至 于 受到 人 为 或 上 月 然 因 素 的 危害 ,而 使 信息 丢失 、 
泄露 或 破坏 ， ai 设施 (包括 机 房 建筑 .供电 、 空 调 等 ) .环境 人员、 系统 等 采取 
适当 的 安全 措施 。 端的 物理 安全 主要 从 设备 安全 和 运行 安全 着 手 ， 


到 终端 安全 管理 


5.1.1 设备 安全 

设备 安全 是 为 保证 信息 系统 的 安全 .可靠 运 行 ,降低 或 阻止 人 为 或 目 然 因素 给 硬件 设 
备 安 全 .可靠 运行 带 来 的 安全 风险 ,对 硬件 设备 及 部 件 所 采取 的 适当 安全 措施 ,主要 包括 
抗 静 电 . 抗 电 磁 辆 射 、 抗 电磁 传导 . 抗 滔 清 冲 击 等 方面 的 相关 技术 要 求 。 相 关 标 准 可 参考 
第 4 曹 的 内 容 。 

5.1.2 运行 安全 

运行 安全 是 为 保证 信息 系统 的 安全 ,可 菲 运 行 而 提供 的 安全 运行 环境 ,使 信息 系统 得 
到 物理 上 的 保护 ,从 而 降低 或 避免 各 种 安全 风险 。 运 行 安 全 措施 主要 是 指 终端 设备 正常 
运行 所 需 的 安全 保护 措施 ,包括 场地 安全 、 防 火 .电磁 辆 射 防护 .电磁 屏 珊 .电源 安全 、 静 电 
防护 . 防 雷 、 温 湿度 控制 .防盗 .出 人 控制 .记录 介质 安全 等 方面 的 相关 技术 要 求 。 相 关 标 
准 可 参考 第 4 章 的 内 容 。 


5 .2 资产 管理 


企 事 业 单 位 每 年 都 投入 大 量 资 金 购置 各 种 信息 资产 ,但 随 者 信息 资产 的 使 用 、 转 移 ， 
很 难 及 时 、 清 楚 地 知道 信息 系统 内 部 及 下 属 机 构 拥有 多 少 信息 资产 ,分 布 在 哪些 部 门 , 存 
放 在 何 处 , 谁 在 使 用 ,安全 状况 如 何 , 等 等 。 在 员工 离职 或 工作 变动 时 ,可 能 出 现 资产 交接 
不 完整 的 情况 ,无 法 快速 、 完整 地 了 解 员工 保管 的 资产 ,从 而 造成 组 织 机 构 资 产 的 流失 。 
由 于 资产 管理 制度 ,管理 人 员 ,使 用 人 员 等 方面 原因 ,在 终 问 资产 发 生变 化 时 ,无 法 高 效 、 
精确 地 进行 硬件 资产 管理 ,确定 每 台 计 算 机 的 硬件 配置 变化 情况 ,无 法 跟 踊 人 硬件 资产 的 历 
史 使 用 记录 ,也 不 能 及 时 掌握 资产 变动 情况 。 而 传统 资产 统计 、 管 理 都 需要 消耗 大 量 的 人 
力 ,物力 时间, 对 提高 企 事 业 单位 资产 管理 和 工作 效率 影响 非常 大 。 对 于 大 型 的 信息 系 
统 , 由 于 信息 资产 数量 多 ,分 布 分 散 , 导 致 核查 和 盘点 工作 量 大 ,出 错 率 较 高 ,给 组 织 机 构 
的 资产 管理 部 门市 来 很 多 问题 。 

随 痢 企 事 业 单 位 信息 化 程度 的 提高 ,信息 系统 中 计算 机 终端 数量 日 益 增 多 ,分 文 机 构 
地 理 分 布 距离 还 ,日 弟 终 问 运 维 管 理 的 工作 压力 十 分 巨大 ,主要 表现 在 以 下 几 方 面 : 

(1) 终 闹 数 量 多 ,于 普 分 获 , 守 尾 对 终 问 运 维 文 持 困 难 。 

(2) 统一 补丁 修复 和 软件 分 发 问题 。 如 果 计 算 机 终端 中 存在 的 操作 系统 安全 漏洞 不 
能 及 时 修复 ,将 带 来 极 大 的 安全 风险 。 计 算 机 终端 需要 利用 管理 手段 快速 .统一 分 发 操作 
系统 补丁 ,但 架设 WSUS(Windows Server Update Services, Windows Server 升级 服务 ) 
服务 器 配置 麻烦 ,维护 工作 量 大 ,而 且 也 不 具备 普通 软件 分 发 功能 。 

(3) 传统 防 病毒 软件 误杀 市 来 的 问题 。 传 统 防 病毒 软件 为 了 提高 病毒 查 杀 率 ,奉行 
从 严 的 查 杀 策略 ,导致 单位 内 部 应 用 程序 或 重要 文档 被 误杀 ,因而 产生 了 大 量 不 必要 的 维 
LAPs 

(4) 现场 维护 工作 量 大 。 计 算 机 终 问 用 户 报告 使 用 故障 时 ,需要 IT 维护 人 员 亲 日 赶 
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赴 现 场 处 理 , 但 通 利 大 部 分 上 报 的 故障 郡 是 比较 简单 的 ,完全 可 以 通过 远程 协助 由 用 户 上 月 
己 解 决 。 


5.2.1 硬件 资产 管理 


终端 是 信息 系统 重要 的 资源 和 基础 结构 ,对 终端 固定 资产 的 管理 是 企业 的 一 项 重要 
基础 工作 。 固 定 资产 的 数量 .质量 .技术 结构 标志 着 企业 的 生产 能 力 ,也 标志 着 企业 生产 
力 的 发 展 水 平 ,是 企业 赖 以 生存 的 主要 资产 。 

对 于 计算 机 终端 类 的 固定 资产 ,传统 的 资产 管理 采用 手工 管理 方式 和 一 般 的 固定 次 
产 管理 软件 ,通过 手工 记 账 .资产 档案 信息 化 方式 进行 管理 。 而 在 大 型 信息 系统 中 ,终端 
数量 庞大 ,组 织 机 构 复杂 ,部 署 分 散 ,传统 方式 的 管理 工作 量 非 常 大 ,提供 的 管理 能 力 非常 
有 限 。 随 着 终端 管理 技术 的 发 展 , 企 业 逐 渐 转 向 通过 相关 的 技术 手段 和 管理 措施 对 终端 
硬件 资产 进行 管理 。 

(1) 通过 在 终端 中 安装 的 客户 端 程序 ,利用 终端 系统 中 的 API 读 取 硬 件 信息 ,利用 驱 
动 程序 的 接口 返回 相关 信息 ,并 将 配置 信息 统一 上 报 终端 安全 管理 平台 ,这 些 配置 信息 包 
括 计算 机 硬件 型 号 、 硬 件 配置 信息 、 计 算 机 整 机 型 号 等 。 

(2) 通过 自动 收集 终端 的 相关 信息 ,包括 硬件 信息 .操作 系统 信息 ,终端 登记 信息 等 
内 容 ,对 终端 硬件 变动 产生 告警 信息 。 对 收集 的 信息 进行 统一 处 理 , 可 以 通过 输出 报表 、 
民 告 等 方式 以 方便 管理 人 员 对 资产 变动 信息 的 收集 与 统计 ， 

(3) 设置 终端 自助 资产 登记 。 对 于 终端 数量 较 大 的 信息 系统 ,应 支持 自助 资产 登记 
功能 ,设置 资产 必 填 信息 项 以 及 输入 的 数据 类 型 ,为 终端 管理 提供 便捷 、 高 效 的 使 用 环境 ， 

在 终端 硬件 资产 的 全 生命 周期 (涵盖 规划 、 调 研 .采购 、 验 收 、 使 用 .维修 报废 等 ) 中 ， 
在 硬件 资产 进入 组 织 信息 网 络 之 前 ,应 安装 硬件 资产 管理 软件 或 组 件 ,利用 计算 机 技术 完 
成 对 信息 系统 中 硬件 资产 的 信息 化 ,实现 对 终端 安全 的 实时 管理 和 控制 。 

5.2.2 软件 资产 党 理 

随 着 社会 经 济 的 不 断 发 展 , 企 业 业务 逐步 走向 多 样 化 .精细 化 、 定 制 化 ,企业 日 常生 产 
环境 基本 上 离 不 开 各 类 应 用 软件 的 使 用 。 为 了 提高 企业 管理 效率 和 使 用 体验 , 越 来 越 多 
的 企业 开始 在 内 部 使 用 购买 .研发 .定制 各 种 各 样 的 软件 系统 。 随 着 企业 内 部 软件 数量 的 
增加 ,软件 在 发 放 、 下 载 .安装 、 更 新 、 印 载 .统计 等 方面 就 成 为 企业 资产 管理 面临 的 一 大 问 
题 。 同 时 ,软件 在 企业 内 网 中 传播 渠道 的 不 统一 以 及 软件 获取 来 源 的 不 确定 性 对 企业 的 
谊 息 安全 也 造成 了 极 大 的 隐患。 

企业 对 软件 缺乏 统一 的 管理 ,导致 管理 人 员 无 法 全 面 .及 时 地 掌握 企业 内 网 软件 安装 
情况 。 因 此 ,如 何 规范 软件 管理 ,防止 恶意 软件 流入, 发 挥 软件 给 企业 带 来 的 价值 ,成 为 信 
息 系统 管理 者 重点 关注 的 问题 。 企 业 在 软件 管理 方面 遇 到 的 问题 主要 如 下 ， 

(1) 缺乏 统一 、 高 效 的 软件 分 发 平台 。 

(2) 缺乏 对 软件 生命 周期 (下 载 .安装 、 升 级 、 印 载 ) 和 软件 统计 运 维 信息 的 管理 ， 

(3) 无 序 的 软件 传播 渠道 使 得 软件 安全 性 无 法 保证 ， 

(4) 有 限 的 企业 软件 资源 无 法 满足 终端 用 户 个 性 化 使 用 需求 。 
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痊 用 户 同 时 下 载 软件 时 ,容易 大 量 占用 企业 对 外 网 络 接口 惠 宽 ,影响 企业 正 稼 
Wy 

(6) 全 网 已 安装 的 软件 没有 统计 记录 ,对 软件 无 法 统一 管理 。 

(7) 企业 购买 收费 软件 并 将 软件 授权 序列 号 分 发 给 终端 用 户 之 后 ,往往 较 难 统计 
软件 的 实际 使 用 情况 ,管理 员 对 于 企业 内 软件 资产 的 使 用 .分配 、 利 用 率 等 情况 无 法 


为 解决 软件 资产 管理 问题 ,可 以 采用 以 下 措施 。 


1. 统一 软件 获取 渠道 

为 统一 企业 内 部 软件 获取 渠道 ,可 以 通过 在 企业 内 网 中 设置 软件 分 发 中 心 ,满足 企 
业内 部 用 户 普遍 性 的 软件 需求 ,全 面 覆 盖 企 业 网 内 软件 下 载 , 使 用 需求 ,以 保障 企业 下 
载 软 件 的 安全 。 通 过 统一 软件 获取 渠道 ,使 得 内 网 终端 用 户 不 必 通 过 互联 网 等 不 可 信 
渠道 获取 无 法 确认 安全 性 的 软件 ,规范 软件 获取 渠道 ,从 而 保障 终端 和 信息 系统 的 软 
件 安全 。 

这 种 管理 措施 面临 的 问题 是 : 由 于 企业 业务 的 多 样 性 ,软件 的 种 类 、 版 本 .授权 管理 
等 也 多 种 多 样 。 在 管理 中 可 以 进行 业务 优化 ,指定 业务 使 用 软件 的 集合 ,通过 对 有 限 范 围 
内 的 软件 进行 管理 ,实现 软件 获取 渠道 的 统一 。 


2. 软件 统一 部 署 

企业 日 兽 生 产 环 境 已 基本 固化 ,不 同 的 生产 环境 使 用 不 同 的 生产 模板 ,通过 对 终端 中 
软件 的 统一 部 蜀 , 避 人 锡 终 问 使 用 者 安 沪 与 生产 环境 不 一 宪 的 软件 产品 ,从 而 降低 和 扩 人 锡 由 
于 软件 不 统一 导致 的 风险 。 同 时 ,通过 软件 安装 统计 功能 ,监控 全 网 软件 安装 ,并 可 以 对 
软件 进行 分 发 安 痛 .升级 . 番 载 等 操作 ,便于 管理 员 统 一 管理 内 网 软件 。 一 些 软件 管理 平 
台 可 以 在 线 查看 终端 已 安装 软件 的 授权 序列 号 以 及 使 用 情况 ,为 企业 优化 软件 资产 分 配 
和 软件 采购 提供 数据 文 撑 。 

在 第 4 草 中 介绍 的 国外 有 关 终 端的 典型 处 理 流 程 中 就 包含 软件 统一 部 署 的 管理 措 
施 。 在 终端 到 达 使 用 者 手中 时 ,已 完成 了 基础 软件 的 统一 部 署 安 装 ,实现 了 软件 统一 部 署 
的 管理 措施 。 国 内 很 多 企 事业 单位 也 已 实现 了 类 似 的 管理 措施 。 

3. 应 用 控制 

应 用 控制 功能 应 支持 以 下 4 个 基本 功能 : 

(1) 进程 启动 控制 。 用 于 控制 终端 上 能 运行 的 进程 ,只 有 经 过 管理 人 员 明 确 允 许 的 
进程 才 可 以 运行 。 

(2) 文件 保护 。 用 于 保护 关键 目录 ,使 其 不 被 其 他 软件 非法 更 改 。 

(3) 注册 表 保 护 。 用 于 保护 关键 注册 表 ,使 其 不 被 其 他 软件 非法 更 改 。 

(4) 进程 保护 。 用 于 保护 关键 进程 ,以 避免 被 其 他 软件 恶意 结束 。 

应 用 控制 功能 应 包含 以 下 3 部 分 : 

(1) 策略 系统 。 用 于 编辑 应 用 控制 功能 的 策略 ,并 将 宋 上 略 下 发 到 终端 系统 。 寅 略 包 
括 : 是 否 开 司 其 他 功能 ,人 允许 或 禁止 的 进程 特征 ,党 保护 的 文件 .注册 表 和 进程 ,以 及 访问 
例外 等 。 
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(2) 客户 病 。 主 要 由 策略 解析 引擎 .驱动 程 序 和 决策 引擎 等 部 分 组 成 。 生 略 解析 引 
擎 负责 接收 和 解析 终端 安全 管理 平台 下 发 的 策略 ;驱动 程序 负责 拦 规 系 统 的 进程 司 动 、 文 
pt 注册 表 访 问 、 进 程 访问 等 API 操作 ;决策 引擎 接收 驱动 程序 回击 的 系统 行为 信 

昌 ,并 根据 下 发 的 筑 略 进行 决策 ,并 将 决策 结 采 反馈 给 驱动 程序 。 

(3) 日 志 系 统 。 用 于 记录 终端 的 相关 过 程 。 管 理 员 通 过 分 析 日 志 可 以 判断 是 否 有 错 
误 拦 规 或 短 漏 拦 稚 ,从 而 能 够 及 时 调整 规则 。 

5.2.3 过 时 终 靖 安全 常理 

过 时 终端 主要 是 指 到 期 终端 ,临时 入 网 终端 等 需要 在 终端 资产 管理 中 注销 以 及 特别 
关注 的 相关 终端 。 

对 于 组 织 统一 管理 的 到 期 终 闪 ,需要 做 好 报废 前 的 准备 工作 ， 包括 相 关 信息 登记 、 yy 
理 流 程 等 。 在 这 一 过 程 中 需要 注意 的 是 识别 和 人 处理 与 到 期 终 新 相关 联 的 其 他 资产 
不 能 因 到 期 终 病 的 报废 引起 其 他 关联 的 、 未 到 期 资产 的 损失 或 损坏 。 应 注意 对 到 期 终端 
中 存储 的 信息 进行 处 理 , 避 免 信息 泄露 。 到 期 终端 报废 后 ,应 在 资产 管理 中 注销 并 做 好 相 
关 记 录 ,避免 非法 终端 冒充 报废 终端 接 人 组 织 内 部 网 络 中 。 

对 于 临时 入 网 终端 ,应 建立 相应 的 管理 制度 。 例 如 ,临时 入 网 终端 需 提 交 终 问 接 入 申 
请 ,包括 接 入 设备 名 称 、 接 入 设备 类 型 . 接 入 用 途 、 接 入 区 域 .访问 资源 沁 围 .计划 终止 时 间 
等 ,随后 由 系统 完成 接 入 审批 . 接 入 安全 检查 等 工作 流程 。 在 临时 终端 脱离 组 织 内 网 后 ， 
需要 提交 相应 的 取消 终 病 接 和 人 申请 ,完成 临时 人 网 终端 的 财 环 管理 。 


本 存储 介质 管理 


5.3.1 钊 规 存 储 介 质 窒 理 


对 于 固定 便 盘 、 磁 市 .光盘 等 币 规 存储 介质 ,应 对 存放 环境 、 使 用 .维护 和 销 恕 等 方面 
进行 规定 ,确保 存储 介质 存放 在 安全 的 环境 中 ,并 对 存储 介质 进行 控制 和 保护 。 如 采 含 有 
重要 数据 的 存储 介质 需要 市 出 ,应 提前 做 好 加 密 和 备份 工作 。 对 于 需要 送出 维修 或 销毁 
的 存储 介质 应 采用 多 次 谈 写 履 兰 的 方法 消除 敏感 或 秘密 数据 ,对 于 无 法 执行 删除 探 作 的 
受 损 存储 介质 必须 销毁 ,并 做 好 相关 的 记录 。 如 采 有 数据 异地 备份 的 需求 ,应 做 好 相关 的 
数据 备份 计划 ,相关 技术 参见 5.8 万。 


5.3.2 移动 存储 介质 过 理 


移动 存储 介质 包括 移动 硬盘 . 手机、 数码 相机 、 摄 像 机 .iPod、MP37/MP4、PDA 以 及 各 
种 存储 卡 等 。 移 动 存储 设备 由 于 其 体积 小 ` 撕 带 方 便 、 存储 量 大 .使 用 灵活 等 特点 ,迅速 得 
以 广泛 应 用 。 根 据 对 典型 移动 存储 设备 的 产品 销售 量 进行 估算 ,当前 全 球 使 用 中 的 各 类 
移动 存储 设备 超过 30 亿 个 ,而 且 还 在 迅速 增长 。 
对 移动 存储 介质 管理 ,通常 是 根据 组 织 信息 安全 需求 进行 的 。 需 要 注意 的 是 ,由 于 移 
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动 存储 介质 大 部 分 使 用 USB 接口 ,如果 在 设备 管理 中 将 USB 接口 设置 为 禁用 ,虽然 移动 
存储 介质 被 禁止 使 用 了 ,但 是 某 些 使 用 USB 接口 的 外 设 ( 例 如 鼠标 .键盘 ) 同 样 也 会 被 禁 
用 ,影响 终端 用 户 对 此 类 外 部 设备 的 使 用 


5.3.3 安全 U 盘 
U 盘 在 带 给 用 户 使 用 便捷 性 的 同时 ,也 成 为 计算 机 病毒 传播 及 信息 泄露 的 首要 


途径 。 
U 盘 由 芯片 控制 句 和 闪存 两 部 分 组 成 , 必 片 控制 器 负责 与 PC 的 通信 ,闪存 用 来 存储 
数据 。 闪 存 中 有 一 部 分 区 域 是 用 来 存放 U 盘 控 制程 序 的 固件 , 它 的 作用 类 似 于 操作 系 
统 ,控制 软 硬 件 交 互 ,通常 无 法 通过 直接 访问 等 普通 技术 手段 读 取 。 由 于 普通 U 盘 基 本 
没有 安全 防护 功能 ,对 于 其 中 保存 的 数据 无 法 实现 安全 防护 ,针对 此 类 情况 ,安全 U 盘 应 
运 而 生 。 

安全 U 盘 采 取 的 数据 保护 技术 一 般 分 为 两 种 : 一 种 是 硬件 加 密 , 男 一 种 是 软件 加 
密 。 简 单 地 说 ,人 硬件 加 密 技 术 一 般 指 采用 专用 的 安全 芯片 对 产品 进行 加 密 , 将 加 密 世 上 
密 钥 ,数据 整合 在 一 起 进行 加 密 运 算 , 这 种 技术 有 防止 暴力 破解 .防止 密码 猜测 .数据 恢复 
等 功能 ;而 软件 加 密 则 是 通过 产品 内 置 的 加 密 软 件 实现 对 数据 的 加 密 功 能 。 

硬件 加 密 的 方式 主要 有 键盘 式 加 密 、 刷 卡 式 加 密 .指纹 式 加 密 . 声 纹 式 加 蜜 等 ,而 软件 
加 蜜 的 方式 主要 有 密码 加 密 .证 书 加 蜜 等 。 硬 件 加 密 比 软件 加 密 在 数据 安全 方面 具有 更 
高 的 可 徘 性 , 即 插 即 用 ,无 须 安 装 加 密 软 件 , 使 用 方便 ;而 软件 加 密 在 实现 技术 以 及 成 本 上 
要 低 于 人 硬件 加 密 ,容易 实现 ,性 价 比 高 。 从 安全 性 的 角度 来 看 ,软件 加 密 更 容易 被 破解 , 通 
过 众 力 人 破解 方式 破解 软件 加 密 有 很 高 的 成 功率 ;而 硬件 加 密 由 于 加 密 模 块 是 固化 在 人 硬件 
控制 芯片 中 的 ,整个 加 密 和 解密 过 程 是 在 U 盘 内 部 完成 的 ,没有 在 计算 机 中 留 下 任何 痕 
迹 ,而 且 密 码 在 传输 过 程 中 也 是 以 密 文 形式 传递 的 ,所 以 很 难 被 截获 ,即使 通过 技术 手段 
截获 得 到 的 信息 也 是 乱码 ,所 以 破解 的 可 能 性 非常 低 。 表 5-1 对 采用 这 两 种 加 密 技 术 的 
安全 U 盘 进 行 了 对 比 。 

表 5-1 硬件 加 密 安全 U 盘 和 软件 加 密 安全 U 盘 的 区 别 


比较 项 目 硬件 加 密 安 全 U 盘 软件 加 密 安 全 U 盘 
容量 2 一 32GB 支持 任意 容量 的 普通 U 盘 
。 硬件 参与 密 钥 的 保护 和 维护 ,防止 | 。 密 钥 加 密 存 储 , 但 没有 访问 控制 
数据 未 授权 访问 措施 
数据 机 密 性 。 使 用 硬件 保护 密 文 。 对 密 文 无 保护 
。 加 密 算 法 不 可 被 调试 。 加 密 算 法 可 被 调试 
。 使 用 私有 文件 系统 。 使 用 标准 文件 系统 
数据 完整 性 。 使 用 硬件 保护 数据 完整 性 。 数据 可 以 被 算 改 ,无 完整 性 校 验 
ee 。 病毒 .木马 无 法 破坏 数据 。 病毒 .木马 可 以 破坏 数据 
身份 认证 硬件 参与 身份 认证 过 程 导 份 认证 信息 可 以 被 算 改 
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比较 项 目 硬件 加 密 安 全 U 


对 用 户 行 为 的 审计 准确 度 高 ,可 以 审 
日 志 审 计 计 外 部 网 络 的 用 户 行为 ,使 用 硬件 保 
护 审计 日 志 冤 整 性 


软件 加 密 安 全 U 盘 


用 户 行 为 审计 准确 度 低 ,在 外 部 网 络 
环境 下 没有 行为 审计 日 志 


便 件 厂商 的 U 盘 质 量 不 同 , 无 法 防止 
稳定 性 高 ,有 统一 的 质量 管控 和 售后 | 在 制作 过 程 中 或 使 用 过 程 中 对 U 盘 


六 品 稳 定性 及 维护 | 维护 造成 不 可 道 的 损坏 ;无 法 提供 售后 维 
护 或 只 能 提供 有 限 的 售后 服务 
读 写 权 限 管 理 通过 硬件 管理 读 写 权限 ,安全 性 高 ”| 通过 软件 管理 读 写 权限 ,容易 被 攻破 


维护 . 读 写 权限 管理 等 方面 ,硬件 加 密 安 全 U 盘 均 优 于 软件 加 密 安 全 U 盘 。 安 全 UU 盘 使 
用 已 有 或 定制 开发 的 安全 忌 厂 ,对 U 圾 的 固件 进行 多 种 安全 保护 设计 ,防止 攻击 者 利用 
对 U 盘 的 固件 进行 逆 回 重新 编程 改写 U 盘 的 操作 系统 等 方式 对 U 盘 进 行 攻 击 , 有 效 提 
局 了 U 盘 的 便 件 安全 性 能 。 所 以 ,企业 右 想 有 效 降低 因 U 盘 使 用 给 内 网 审 来 的 安全 隐 


患 ,应 优先 选择 便 件 加 密 安 全 U 盘 。 


5.4 设备 管理 


Windows 操作 系统 通过 GUID 来 管理 人 硬件 的 动态 变化 (参考 第 2 划 相 关内 容 )， 
GUID 是 一 个 128 位 值 ,可 以 利用 WDK 和 Windows SDK 中 包含 的 Uuidgen 工具 生成 ， 
考虑 到 128 位 所 能 表达 的 值 的 范围 ,从 统计 意义 上 几乎 可 以 保证 生成 的 GUID 是 全 局 唯 
一 的 。 通 过 设备 对 应 的 GUID 值 ,可 以 读 取 终端 设备 中 对 应 的 接口 和 设备 。 


1. 接口 GUID 值 
表 5-2 列 出 了 终 问 中 常见 接口 的 GUID 值 。 
表 5-2 终端 中 常见 接口 的 GUID 值 
CDROM 4D36E965-E325-11CE-BFC1-08002BE10318 
1394 6BDD1FC1-810F-11D0-BEC7-08002BE2092F 
Image 6BDD1FC6-810F-11D0-BEC7-08002BE2092F 
Media 4D36E96C-E325-11CE-BFC1-08002BE10318 


PCMCIA 4D36E977-E325-11CE-BFC1-08002BE10318 


Ports 4D36E978-E325-11CE-BFC1-0800ZBE10318 
Ports 97F76EFO-F883-11D0O-AFl1F-0000F800845C 


USB 36FC9E60-C465-11CF-8056-444553540000 


接口 说 明 
CD-ROM 驱动 器 接口 
IEEE 1394 主 控制 器 接口 
摄像 头 .扫描 仪 接口 
视频 .音频 设备 接口 
PCMCIA 控制 器 接口 
端口 (串口 ) 
端口 5 并口) 

USB 主 控 器 .集线器 接口 
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2. 设备 GUID 值 
终端 中 常见 设备 的 GUID 值 如 表 5-3 所 示 。 


设备 标识 
CDROM 
DiskDrive 
Display 
FDC 
FloppyDisk 
HDC 
HID Class 
Image 
Infrared 
Kevboard 
Modem 
Mouse 
Media 
Bluetooth 
Net 
SCST Adapter 
System 
Printer 
MIP Device 
USB 


USB 


本 .了 


企业 .组 织 机 构 的 信息 系统 需要 确保 接 和 人 内 部 网 络 的 终 妆 设备 符合 安全 标准 。 在 这 
些 设备 被 授予 网 络 访问 权 之 前 ,必须 自 先 确定 这 一 点 。 网 络 安全 省 理 可 帮助 安全 管理 人 


表 5-3 


4D36E967-E325-11CE-BFC1-08002BE10318 
4D36E968-E325-11CE-BFC1-08002BE10318 
4D36E969-E325-11CE-BFC1-08002BE10318 
4D36E980-E325-11CE-BFC1-08002BE10318 
4D36E96A-E325-11CE-BFC1-08002BE10318 
1745Al17A0-74D3-11D0-B6FE-00AOC90F57DA 
6BDDI1FC6-810F-11DO-BEC7-08002BE2092F 
6BDDI1FCo-810F-11D0-BEC7-08002BE2092F 
4D36E96B-E325-11CE-BFC1-08002BE10318 
4D36E96D-E325-11CE-BFC1-0800z2BE10318 
4D36E96F-E325-11CE-BFC1-08002BE10318 


4D36E96C-E325-11CE-BFC1-08002BE10318 


EOCBFO6C-CD8B-4647-BB8 A-263B43FOF974 


4D36E972-E325-11CE-BFC1-08002BE10318 
4D36E97B-E325-11CE-BFC1-08002BE10318 
4D36E97D-E325-11CE-BEFC1-0800ZBE10318 


4658EE7E-FO050-11D1-B6BD-00CO4F A372A7 


EEC5AD98-8080-425F-922A-DABF3DE3F69A 


36FC9E60-C465-11CF-8056-444553540000 


F72FE0D4-CBCB-407d-8814-9ED673DODD6B 


网 络 安全 常理 


终端 中 常见 设备 的 GUID 值 


GUID 值 


4D36E965-E325-11CE-BFC1-08002BE10318 


设备 说 明 


CD-ROM 驱动 器 


磁盘 驱动 器 
显示 适配器 
软盘 控制 着 
软盘 驱动 器 
磁盘 控制 器 
人 机 交互 设备 
红外 设备 
键盘 
调制 解 调 器 
鼠标 

视频 .音频 设备 
蓝牙 设备 
网 卡 


SCSI、RAID 控制 需 


打印 设备 
SL) 存储 卡 


USB 主 控 虽 ,集线器 


ADB 设备 


员 蝎 好 地 控制 信息 系统 的 接 入 点 ,有 效 阻止 安全 威胁 和 非法 访问 企图 。 
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5.5.1 终端 认证 


网 络 安全 管理 从 设备 接 入 发 现 .用 户 注册 、 认 证 授权 、 安 全 检查 、 隔 离 修复 .访问 控制 
等 方面 对 用 户 终端 人 网 进行 管控 。 为 提高 安全 性 ,可 以 采用 多 种 认证 技术 .多 因素 认证 凭 
证 .多 条 件 绑 定 机 制 . 混 合 认证 模式 和 多 层 防护 体系 ,以 适应 各 种 复杂 网 络 环境 。 通常 可 
以 采用 防火 墙 、 网 络 访问 控制 设备 等 安全 设备 ,通过 各 种 认证 方式 对 终端 访问 网 络 进行 管 
控 。 以 下 介绍 终端 认证 常用 的 几 种 方式 。 


1. IEEE 802.1x 接 入 认证 

IEEE 802.1x 是 基于 端口 的 网 络 访问 控制 (Port-based Network Access Control， 
PNAC) 的 IEEE 标准 , 它 是 IEEE 802.1 的 一 部 分 ,为 连接 到 LAN 或 WLAN 的 设备 提供 
认证 服务 。IEEE 802.1x 定 义 了 可 扩展 认证 协议 (Extensible Authentication Protocol， 
EAP) 在 IEEE 802 上 的 封装 ,被 称 为 EAP over LAN 或 EAPOL。EAPOL 最 初 设计 用 
于 IEEE 802.1x 一 2001 中 的 IEEE 802.3 以 太 网 ,经 过 修改 和 调整 ,也 适用 于 其 他 IEEE 
802 LAN 技术 (例如 IEEE 802.1x 一 2004 中 的 IEEE 802.11 无 线 和 光纤 分 布 式 效 据 接口 ， 
即 ISO 9314-2)。EAPOL 协议 也 可 用 于 IEEE 802.1x 一 2010 中 的 IEEE 802.1ae( 介 质 访 
问 控制 安全 协议 ,MACSec) 和 IEEE 802.1ar( 安 全 设备 标识 ,DevID) 以 支持 本 地 LAN 段 
上 的 服务 识别 和 可 选 的 点 对 点 加 密 。 

图 5-1 是 IEEE 802.1x 的 认证 数据 流 示 意图 。 


内 网 或 者 外 网 资源 
图 5-1 IEEE 802.1x 的 认证 数据 流 示 意图 


IEEE 802.1x 认证 涉及 三 方 : 请 求 方 . 认 证 方 和 认证 服务 器 。 请 求 方 是 申请 连接 到 
LAN/WLAN 设备 的 终端 (例如 人 台式 计算 机 终端 或 笔记 本 电脑 终端 ) ,也 可 以 是 在 终端 上 
运行 的 回 认 证 方 提 供 和 凭证 的 软件 ;认证 方 通 第 是 指 网 络 设 备 , 它 提供 客户 端 和 网 络 之 间 的 
数据 链 路 ,并且 可 以 在 两 者 之 间 人 允许 或 阻止 网 络 流 量 , 主 要 是 以 太 网 安 换 机 或 无 线 接 人 
点 ;认证 服务 器 通常 是 运行 支持 LDAP、RADIUS 和 EAP 协议 的 主机 ,是 可 信任 的 服务 
器 ,可 以 接收 和 响应 网 络 访问 请 求 ,并 且 可 以 告知 请 求 方 是 否 允 许 连接 ,以 及 应 该 应 用 于 
该 客户 端的 连接 或 设置 的 各 种 设置 。EAP 数据 首先 封装 在 请 求 方 和 认证 方 之 间 的 
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EAPOL 帧 中 ,然后 使 用 RADIUS 或 Diameter 在 认证 方 和 认证 服务 器 之 间 重 新 封装 。 
认证 方 就 像 一 个 受 保护 网 络 的 安全 警卫 。 请 求 方 ( 即 客户 端 设备 ) 不 允许 未 通过 认证 
就 访问 网 络 的 受 保护 资源 ,下 到 请 求 者 得 到 认证 和 授权 。 使 用 基于 IEEE 802.1x 问 口 的 
吴 份 认证 ,请 求 方向 身份 认证 程序 提交 凭据 (例如 用 户 名 /密码 或 数字 证 书 ) ,身份 认证 程 
序 将 凭据 转发 到 认证 服务 硕 进 行 认证 。 如 果 认 证 服务 硕 确定 凭据 有 效 , 则 允许 请 求 者 ( 客 
户 端 设备 ) 访 问 位 于 网 络 受 保 护 端 的 资源 。 
图 5-2 给 出 了 IEEE 802.1x 的 认证 流程 。 


请 求 广 认证 广 We 
Sy 
A 学 
| | 
| 连接 | 
| 


EAP 报 文 


Ai 


RADIUS 认 证 请 求 


RADIUS 壬 份 询问 


生 | 人 RADIUS 认证 请 求 
Raptusiiz 节 巧 | 
EAP 验 证 成 功 
2 I | 
! | 


图 5-2 IEEE 802.1x 的 认证 流程 


IEEE 802.1x 典型 的 认证 流程 包括 : 

(1) 初始 化 。 在 检测 到 新 的 请 求 方 时 ,交换 机 (认证 方 ) 上 的 端口 被 局 用 并 设置 为 “未 
授权 ”状态 。 在 这 种 状态 下 ,只 人 允许 IEEE 802.1x 协议 的 数据 流通 过 ,其 他 协议 (例如 
TCP、UDP 等 ) 的 数据 流 将 被 丢弃 。 

(2) 局 动 。 为 司 动 认证 ,认证 项 将 周期 性 地 将 EAP-Request Identity 幅 发 送 到 本 地 
网 段 上 特殊 的 第 二 层 地 址 (01:80:C2:00:00:03)。 请 求 方 在 这 个 地 址 上 侦 听 ,并 且 在 收 
到 EAP-Request Identity 帧 时 ,用 包含 请 求 方 标识 符 ( 例 如 用 户 ID) 的 EAP-Response 
Identity 帧 进行 啊 应 。 然 后 认证 方 将 此 号 份 啊 应 封 汉 在 RADIUS Access-Request 数据 包 
中 ,并 将 其 转发 给 认证 服务 器 。 请 求 方 也 可 以 通过 向 认证 方 发 送 EAPOL-Start 帧 来 启动 
或 重新 局 动 认证 ,然后 认证 方 将 使 用 EAP-Request Identity 帧 进行 回复 。 

(3) 协商 。 认 证 服务 需 回 认证 方 发 送 一 个 回复 (封装 在 RADIUS Access-Challenge 
包 中 ) ,其 中 包含 一 个 指定 EAP 方法 ( 它 硕 望 请 求 方 执行 的 基于 EAP 的 认证 类 型 ) 的 
EAP 请 求 。 认 证 方 将 EAP 请 求 封 痛 在 EAPOL 帧 中 ,并 将 其 发 送 给 请 求 者 。 此 时 ,请求 
方 可 以 开始 使 用 其 请 求 的 EAP 方法 ,或 者 执行 NAK(* 否 定 确认 ”) 并 用 它 可 以 执行 的 
EAP 方法 进行 啊 应 。 
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(4) 认证 。 如 果 认 证 服务 器 和 请 求 方 就 EAP 方法 达成 一 致 , 则 在 请 求 方 和 认证 服务 
右 之 间 ( 由 认证 方 转换 ) 发 送 EAP 请 求 和 啊 应 ,直到 认证 服务 器 用 EAP-Success 消息 ( 封 
装 在 RADIUS 访问 接收 数据 包 ) 或 EAP 失败 消息 (封装 在 RADIUS 访问 拒绝 数据 包 
中 )。 如 果 认 证 成 功 , 则 认证 方 将 端口 设置 为 “授权 ”状态 ,并 且 人 允许 正常 通信 ;如 果 不 成 
功 , 则 问 口 保持 “未 授权 ”状态 。 当 请 求 方 注销 时 , 它 同 认证 方 改 送 EAPOL 注销 消 朋 , 然 
后 认证 方 将 端口 设置 为 “未 授权 ”状态 ,再 次 阻止 所 有 非 EAP 协议 的 数据 流 。 

2. Web Portal 认证 

Web Portal 认证 方案 是 保护 网 络 核 心 区 域 不 受 外 部 非法 访问 的 认证 技术 方案 。 
通过 劳 路 部 蜀 监 听 保 护 区 域 的 网 络 数据 流 , 并 进行 连接 跟 踊 ,对 企业 内 网 数据 流 进行 合法 
性 检测 并 对 非法 连接 进行 阻 断 和 控制 ,以 保护 核心 区 域 访问 的 安全 。 它 基于 用 户 核 心 业 
务 保护 概念 ,对 非法 访问 用 户 核 心 资源 进行 访问 限制 ,访问 者 号 份 合法 后 才能 正常 访问 。 
用 户 经 过 Portal 认证 /用 户 注册 可 下 接 访问 受 保 护 服 务 硕 ,注册 用 户 需 经 管理 员 审 批 硝 
认 或 目 动 审批 确认 。 下 面 介 绍 几 种 篆 见 的 Web Portal 认证 方式 。 

1) HTTP 重 定向 

这 是 目前 主流 的 Web Portal 认证 方式 , 它 将 所 有 互联 网 流量 定 回 到 Web 服务 右 , 该 
服务 器 将 HTTP 重 定 癌 到 认证 门户 。 终 问 设 备 首 次 连接 到 网 络 时 会 发 出 HTTP 请 求 ， 
如 果 终 疹 设备 收 到 HTTP 204 状态 代码 , 则 它 就 认为 自己 可 以 无 限制 地 访问 互联 网 。 
Web Portal 通过 将 HTTP 状态 代码 由 204 修改 为 302( 重 定 回 状态 码 ) 返 回 到 认证 服务 
天 ,使 得 终端 设备 访问 认证 服务 需 , 并 通过 认证 服务 需 认 证 才 可 以 继续 访问 互联 网 资源 ， 
如 图 5-3 所 示 。 

用 三 Web Portal Web 服 务 器 认证 服务 器 


-一 一 -用 户 HTTP 请 求 A -一 一 一 
一 - 重 定向 HTTP 302 -一 一 一 - 
| 用 户 HTTP 请 求 B 发 送 给 Web 服 务 嚣 ”- 一 一 一 一 
一 一 一 一 一 一 Weh 服 务 器 返回 用 户 登 录 验 证 界面 0 
0 用 户 提交 用 户 名 和 密码 给 Web 服 务 器 -一 -一 一 


_ ”Web 服 务 厚 将 用 户 名 __ 
和 密码 发 送 给 NAC 认 证 


一 一 ~ Web Portal 将 用 户 名 和 窗 码 发 过 给 认证 服务 器 认证 和 
全 全 全 过 认证 服务 名 返 回 认 证 结果 给 Web Portal 一 一 一 一 一 


__Web Portal 将 认证 结果 返 
回 给 Web 有 上 服务 愉 


Web 服 务 器 确认 认证 结果 - 
一 二 一 一 一 一 Wieb 服 务 器 返回 用 户 认证 结果 信息 一 -一 一 一 


图 5-3 Web Portal 认证 HTTP 重 定 回 


131 


”终端 安全 管理 


HTTP 重 定 癌 的 具体 过 程 如 下 .: 

(1) 用 户 访 问 互 联网 资源 , Web Portal 判断 该 用 户 未 完成 认证 ,发送 HTTP 302 状 
态 个 到 用 户 端 ,要 求 重 定 同 到 Web 服务 天 的 URL。 

(2) 用 户 收 到 重 定 回报 文 ,再 次 发 送 请 求 Web 服务 需 的 URL。 

(3) Web 服务 颖 推送 URL 认证 页 面 。 

(4) 用 户 输入 用 户 名 、 密 人 码 ,提交 相关 信息 ,加 Web 服务 硕 发 起 连接 请 求 。 

(5) Web 服务 需 向 Web Portal 发 起 认证 请 求 ,请 求 中 携带 已 加 密 的 用 户 名 和 密码 。 

(6) Web Portal 发 起 RADIUS 认证 过 程 , 同 认 证 服务 占 发 送 Access-Request 请 求 。 

(7) Web Portal 接收 认证 服务 器 发 回 的 啊 应 消息 Access-Accept 或 拒绝 消息 Access- 
Reject。 

(8) Web Portal 向 Web 服务 器 发 送 认 证 结果 。 

(9) Web 服务 需 回 应 确认 收 到 认证 结 采 的 报 文 。 

(10) Web 服务 需 推 送 认证 结果 给 用 户 。 

2) ICMP 重 定向 

客户 新 流量 通过 ICMP 重 定 同 , 由 路 由 颖 将 路 由 信息 传递 给 客户 并 主机 。 在 终端 尝 
试 连 接 互 联网 时 ,路 由 器 将 访问 请 求 重 定 问 至 认证 服务 器 ,实现 认证 管理 。 

3) DNS 重 定向 

当 终 端 请 求 互 联网 资源 时 ,浏览 器 会 查询 DNS 信息 。 在 强制 认证 网 络 中 ,通过 
NAC 防火 增 等 安全 设备 ,可 以 使 未 经 身份 验证 的 客户 端 只 能 使 用 网 络 中 DHCP 服务 天 
指定 的 DNS 服务 器 ,由 DNS 服务 需 返 回 认证 服务 需 的 IP 地址 ,使 终端 访问 认证 服务 器 ， 
从 而 实现 强制 认证 操作 。 


3. MAB 认证 

由 于 并 非 所 有 设备 都 支持 IEEE 802.1x 吴 份 认 证 ,例如 网 络 打印 机 以 及 基于 网 络 的 
电子 设备 (如 环境 传 感 希 、 网 络 摄像 机 ) 等 ,要 在 受 保护 的 网 络 环境 中 使 用 此 类 设备 ,必须 
提供 备用 机 制 来 对 它们 进行 号 份 认证 。 

一 种 方法 是 在 该 设备 连接 的 端口 上 禁用 IEEE 802.1x, 但 这 会 使 该 端口 不 受 保护 ,并 
可 能 引起 剖 口 滥用 的 情况 发 生 。 为 一 种 方法 是 使 用 MAB 认证 : 在 端口 上 配置 MAB 认 
证 ,该 端口 将 首先 检查 连接 的 设备 是 否 符 合 IEEE 802.1x 协议 ,如 果 没 有 从 连接 的 设备 收 
到 任何 反应 ,将 尝试 使 用 连接 设备 的 MAC 地 址 作为 用 户 名 和 密码 ,提交 给 认证 服务 器 进 
行 身 份 认证 。 网 络 管理 员 必 须 在 RADIUS 服务 器 上 将 这 些 MAC 地 址 添加 为 普通 用 户 ， 
或 者 加 入 日 名 单 中 ,或 者 实施 其 他 逻辑 来 解析 它们 ,从 而 达到 使 设备 人 网 的 目的 。 许 多 以 
太 网 交换 机 提供 了 相关 的 功能 。 

5.5.2 非法 外 联 管控 

随 春 外 联 设 备 的 种 类 越 来 越 多 (例如 移动 数据 上 网 卡 `WiFi 网 卡 、.USB 手机 热点 等 
数据 通信 设备 ) ,外 联 的 方式 也 日 益 多 样 化 (例如 设置 无 线 热点 、 网 络 共享 等 方式 ) ,通过 原 
有 的 禁止 外 设 功能 已 经 不 能 完全 保证 有 效 禁 止 此 类 外 联 的 发 生 。 
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非法 外 联 管控 需要 及 时 探测 终端 是 否 拥 有 外 联 能 力 , 并 能 给 出 有 效 的 提示 或 者 阻止 
外 联动 作 ,产生 告警 信息 ,通知 管理 员 关 注 、. 处 理 相关 的 问题 。 

对 于 内 部 划分 为 多 个 工作 网 络 的 企业 ,还 需要 文 持 以 内 网 的 地 址 作为 判断 外 联 的 标 
准 的 功能 ,对 于 外 联 设 备 的 接 入 也 需 产 生 和 告警 信息 ,以 便 提 供给 管理 员 更 多 的 信息 ,以 便 
管理 员 及 时 采取 违规 外 联 的 防护 措施 。 

通 贡 ,在 进行 外 联 能 力 探 测 时 ,使 用 域名 解析 或 对 指定 的 IP 进行 连接 尝试 ,如 来 连接 
成 功 , 则 根据 安全 案 略 规定 的 处 理 措施 进行 相应 的 提示 、 靳 网 或 天 机 人 处理。 这 种 方式 需要 


注意 与 信息 系统 的 互联 网 出 口 管理 结合 在 一 起 ,避免 在 进行 违规 外 联检 测 时 与 正常 互联 
网 出 口 相 温 淆 。 


5.5.3 有 恶 意 URL 检测 


互联 网 服务 为 企 事 业 单 位 的 业务 运 香 刺 来 了 巨大 的 变化 ,同时 也 吸引 了 攻击 者 利用 
互联 网 资源 进行 攻击 。 攻 击 者 利用 社会 工程 学 、 钓 鱼网 站 、 垃 圾 邮件 、 人 恶意 软件 等 方式 , 引 
计 终 疾 用 户 访 问 攻击 者 提供 的 网 贝 ,以 达到 急 取 用 户 隐私 \ 在 终 问 上 安 疙 或 执行 候 音 程序 
的 目的 。 

为 了 识别 恶意 URL ,需要 进行 页 面 采 集 .特征 识 别 和 网 页 判断 。 


1. 页 面 采 集 
页 面 采 集 主 要 完成 对 网 页 内 容 对 象 的 采集 和 处 理 , 可 分 为 主动 式 和 被 动 式 两 种 。 主 


动 式 通过 网 络 爬 虫 技 术 定 同 抓 取 网 页 ,而 和 被动式 主要 是 在 芍 缸 或 网 天 中 对 流 经 的 网 页 数 


2. 特征 识别 

根据 网 页 本 里 的 特点 ,利用 不 同 的 识别 方法 提取 网 页 的 特征 内 容 ,这 些 内 容 包 括 
URL 词汇 特征 .主机 信息 特征 .网 页 内 容 特 征 、 链 接头 系 等 。 恶 意 网 员 特 征 的 分 类 ,如 
图 5-4 所 示 。 

由 图 5-4 可 见 , 常 用 的 恶意 网 幢 特 征 可 分 为 静态 特征 和 动态 特征 两 类 。 

前 仿 特 征 主要 来 日 网 页 静态 信息 ,包括 主机 信息 、URL 信息 和 网 页 内 容 。 动 态 特征 
主要 来 日 网 页 动态 行为 ,主要 包括 浏览 硕 行 为 . 跳 转 关系 .文件 变化 .注册 表 变 化 等 。 动 态 
特征 抽取 过 程 相 对 复 淋 ,需要 长 时 间 的 深 入 分 析 才 能 获取 ,往往 和 需要 结合 窄 网 、 密 网 和 虚 
拟 化 技术 进行 恶意 网 页 识别 。 


3. 网 页 判断 

第 用 的 网 页 判断 方法 包括 黑 名 单 过 滤 .基于 局 发 式 规 则 匹配 、 机 器 和 学习、 交互 式 主 机 
行为 和 云 检测 等 方式 实现 。 

黑 名 单 主 要 包含 恶意 URL 、IP 地 址 .关键 词 等 信息 ,用 以 识别 恶意 网 页 。 黑 名 单 过 
滤 实 现 简单 、 使 用 方便 ,在 实际 使 用 中 ,需要 与 人 工 审 查 、 蜜 网 等 技术 配合 。 黑 名单 只 能 识 
别 已 知 的 恶意 网 页 ,不 能 识别 未 知 的 恶意 网 页 。 随 着 黑 名 单 内 容 的 扩大 ,查询 时 间 开 销 会 
随 之 增加 。 黑 名 单 时 效 性 较 低 , 由 于 钓鱼 网 站 存续 周期 较 短 (数据 调查 显示 ,钓鱼 网 站 日 
发 布 起 2h 内 约 有 63% 会 失效 ) ,在 发 现 疑 似 恶 意 网 页 到 最 终 确认 为 恶意 网 页 时 ,恶意 网 
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域名 注册 信 局, 
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URL 长 度 


HTML 标 签 


晋 


图 5-4 ”恶意 网 页 特征 分 类 


页 可 能 已 经 结束 攻击 过 程 了 。 在 实际 应 用 中 , 黑 名 单 时 效 性 低 的 缺点 限制 了 黑 名 单 技术 


的 应 用 场景 。 
基于 司 发 式 规则 匹配 是 根据 恶意 网 页 之 间 存 在 的 相似 性 设计 和 实现 司 发 规则 ,用 于 


发 现 和 识别 恶意 网 页 。 有 别 于 黑 名 单 精确 匹配 的 方式 ,基于 启发 式 规 则 匹配 的 方法 不 需 
要 提 章 了 解 恶 意 网 页 的 相关 信息 ,而 是 通过 现 有 规则 识别 部 分 恶意 网 页 。 这 种 方法 的 原 
理 是 : 某 些 恶意 网 页 的 统计 特征 (例如 链接 关系 .网 页 内 容 关 键 词 等 ) 是 唯一 的 ,可 作为 规 
则 ,用 来 对 亚 意 网 页 和 正和 过 网 页 进行 区 分 。 但 对 于 互联 网 大 规模 的 网 页 分 类 而 言 , 由 于 局 
发 式 规 则 依赖 于 已 有 恶意 网 页 的 统计 特征 或 人 工 经 验 总 结 , 由 此 制定 的 规则 依赖 于 相应 
的 领域 知识 ,规则 更 新 困难 。 而 且 , 这 种 方法 采用 的 模糊 规则 匹配 技术 会 对 正 第 网 页 产生 
误 判 , 相 较 于 黑 名 单方 法 ,局 发 式 规 则 匹配 的 误 报 率 较 高 。 

基于 机 器 学 习 的 识别 方法 是 将 恶意 网 页 识别 看 作文 本 分 类 或 聚 类 的 问题 ,利用 相应 
的 机 器 学 习 算 法 (例如 DBSCAN 算法 、k-NN 算法 .SVM 算法 、 贝 叶 斯 算法 等 ) 进 行 识别 ， 
主要 包括 无 监督 方法 和 有 监督 方法 。 无 监督 方法 又 称 聚 类 方法 ,前 和 完 将 URL 数据 集 划 
分 为 右 干 个 复 , 通 过 构造 和 标记 数据 集中 的 禾 来 区 分 恶意 网 页 和 正 篆 网 页 (例如 
DBSCAN 算法 )。 有 监督 方法 又 称 分 类 方法 ,通过 引用 网 页 信誉 库 的 方式 构造 URL 标注 
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集 , 利 用 分 类 算法 识别 恶意 网 页 (例如 SVM 算法 . 贝 叶 斯 算法 )。 

基于 交互 式 主机 行为 的 识别 方法 是 结合 虚拟 化 技术 和 蜜 网 技术 对 恶意 网 页 进行 识别 
的 方法 。 该 方法 又 可 分 为 低 交互 式 蜜 色 和 高 交互 式 蜜 色 。 低 交互 式 蜜 饶 是 基于 模拟 仿真 
的 实现 方式 ,通过 编制 软件 构建 一 个 伪装 的 欺骗 系统 环境 来 吸引 攻击 ,并 在 一 个 安全 可 控 
的 环境 中 对 安全 威胁 进行 数据 记录 。 这 种 方式 一 般 只 能 为 攻击 方 提供 受 限 的 交互 性 ,对 
于 一 些 未 知 的 攻击 方式 与 安全 威胁 不 具备 捕获 能 力 。 高 交互 式 蜜 饶 是 基于 模拟 仿真 方 
式 ,通过 搭建 真实 系统 来 构建 一 个 具有 良好 诱骗 性 的 蜜 饶 欺 骗 环 境 , 并 能 够 给 攻击 方 提供 
充分 的 交互 性 。 

互联 网 网 页 规模 迅猛 发 展 ,庞大 的 网 页 规模 数量 对 恶意 网 页 识别 技术 也 提出 了 挑战 。 
网 页 新 技术 (例如 HTML 5) 的 引入 带 来 了 新 的 特征 ,传统 恶意 网 页 识别 技术 由 于 新 特征 
的 加 入 而 引发 了 “高 维特 征 空间 ”现象 ,从 而 导致 “ 维 数 灾难 ”0, 而 且 巨 大 的 网 页 数量 对 资 
源 和 检测 性 能 提出 了 更 高 要 求 , 在 海量 的 网 页 中 最 终 被 确认 为 恶意 网 页 的 仅 占 少数 。 另 
外 ,恶意 网 页 逃逸 技术 也 在 持续 升级 ,利用 环境 探测 十 动态 加 载 ,混淆 .人 机 识别 .网 页 加 
密 等 技术 来 躲避 检测 与 追踪 。 利 用 云 计 算 . 人 工 智能 、 数 据 挖 气 等 新 兴 技术 ,通过 对 海量 
的 数据 筛选 ,建立 恶意 URL 特征 库 。 浏 览 器 .安全 防护 软件 可 以 通过 与 云端 庞大 的 恶意 
URL 特征 库 进 行 比 对 来 识别 恶意 网 站 ,及 时 阻止 用 户 访问 恶意 URL 网 站 。 


5 6 系统 安全 管理 


5.6.1 补丁 管理 
补丁 用 来 完善 软件 、 修 补 漠 洞 , 可 以 提高 软件 和 系统 的 健壮 性 ,延长 操作 系统 和 软件 
的 生命 周期 。 

随 看 应 用 软件 和 操作 系统 中 新 源 洞 持续 不 断 地 被 曝光 ,微软 和 其 他 第 三 方 软件 公司 
会 开发 相应 的 外 丁 来 修复 漏 润 。 在 这 期 间 , 束 会 存在 东 些 新 源 洞 是 在 旧 源 润 基 础 上 被 挖 
据 和 被 发 现 的 。 例 如 ,同一 个 源 洞 或 者 同一 个 功能 模块 , 圭 客 可 能 会 使 用 不 同 的 攻击 方式 
对 其 进行 攻击 。 

新 的 补丁 会 在 修复 原 有 源 洞 的 基础 上 修复 新 的 源 洞 。 此 时 的 新 补丁 束 包 含 旧 补丁 的 
修补 功能 , 旧 补 丁 则 被 称 为 过 期 补丁 ,两 者 之 间 存 在 着 蔡 换 关系 , 即 新 补丁 蔡 换 旧 补 丁 。 
也 就 是 说 ,在 安 疼 了 最 新 的 补丁 后 ,了 台 无 须 再 安 交 旧 补丁 了 。 

由 补丁 的 发 布 机 制 可 知 ,并 不 是 所 有 的 补丁 都 需要 安 效 , 通 币 只 需要 安装 最 新 的 补丁 
即 可 。 如 来 在 安 疙 新 名 丁 的 同时 也 和 安 泪 过 期 补丁 ,不仅 重复 做 了 无 用 功 , 占 用 一 定 的 系统 
帝 源 ,而 且 可 能 会 引起 系统 故障 , 影 啊 计算 机 终端 正常 使 用 。 


1. Windows 系统 及 Office 高 危 漏洞 补丁 
此 类 补丁 一 般 为 微软 公司 发 布 的 严重 或 重要 级 别 的 漏洞 补丁 ,漏洞 级 别 由 微软 公司 


@ 维 数 灾难 用 来 描述 当空 间 维度 增加 时 ,在 分 析 和 组 织 数据 的 过 程 中 因 其 空间 体积 呈现 指数 增长 而 面临 的 各 
类 问题 的 场景 。 
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通过 安全 公告 在 全 球 公 开发 布 , 一 般 分 为 Windows 系统 级 补丁 .Office 补丁 以 及 
Windows 中 各 种 组 件 ( 例 如 Visual Studio 、 .Net Framework 等 ) 的 补丁 ,由 于 此 类 漏洞 基 
本 属于 高 危 源 洞 ,微软 公司 通常 会 在 第 一 时 间 提 示 终 问 用 户 下 载 补 丁 ,进行 修 复 。 

由 于 国内 大 量 终 端 使 用 第 三 方 修改 过 的 Windows 操作 系统 版 本 ,不 能 保证 系统 组 件 
的 莱 容 性 和 可 徘 性 ,在 安 六 个 别 补丁 时 可 能 会 出 现 系 统 或 软件 故障 , 某 些 补丁 其 至 有 和 较 大 
概率 会 导致 系 统 蓝 屏 或 无 法 启动 。 通 常 需 要 根据 计算 机 的 系统 环境 ,将 此 类 补丁 设 定 为 
“可 选 交 不 推荐 安 闻 交 不 建议 安 冯 ?等 类 别 中 进行 管理 。 


2. 0Day 漏洞 补丁 

此 类 漏洞 一 般 为 微软 或 其 他 流行 软件 被 曝光 的 严重 漏洞 ,例如 ,微软 快捷 方式 月 动 执 
行 0Day 漏洞 \IE 浏览 副 “ 极 光 ”0Day 汤 洞 等 。0Day 漏洞 在 官方 还 没有 修复 的 情况 下 可 
能 会 被 黑客 利用 ,使 得 终端 系统 面临 可 能 的 恶意 攻击 。 对 于 此 类 漏洞 , 茶 些 终端 安全 管理 
系统 采用 临时 补丁 ( 热 补丁 ) 的 方式 封 堵 漏洞 ,在 官方 补丁 发 布 前 确保 终端 的 安全 。 即 使 
官方 后 续 发 布 了 正式 补丁 ,此 类 临时 补丁 也 不 会 与 官方 补丁 有 任何 冲突 。 


3. 软件 安全 更 新 补丁 

此 类 漏洞 主要 存在 于 流行 软件 (例如 Adobe Flash Player、Acrobat Reader) 中, 而且 
由 于 此 类 软件 使 用 的 广泛 性 ,有 可 能 导致 严重 的 安全 问题 。 一 般 , 在 软件 官方 发 布 修正 版 
本 后 会 及 时 提醒 终端 用 户 修 复 漏洞 ,主要 采用 补丁 或 软件 升级 的 方式 。 

4. 功能 性 更 新 补丁 

此 类 补丁 主要 是 微软 公司 发 布 的 功能 性 更 新 补丁 或 者 微软 公司 一 些 软件 (例如 
Silverlight、 恶意 软件 删除 工具 ) 的 更 新 程序 。 这 类 补丁 一 般 不 是 安全 更 新 ,安全 等 级 多 为 
中 或 低 。 安 装 这 种 补丁 并 不 能 提升 终端 安全 ,还 可 能 会 占用 终端 的 带宽 ,硬盘 空间 、 系 统 
资源 等 ,所 以 默认 不 安装 此 种 补丁 。 

对 于 某 些 影 响 终端 安全 使 用 (例如 可 能 引发 系统 蓝屏 、 系 统 无 法 启动 .与 其 他 软件 存 
在 冲突 等 ) 的 安全 狂 洞 ,为 保证 终端 业务 的 使 用 ,在 未 安 闻 补丁 之 前 ,需要 对 其 进行 完整 的 
测试 ,确保 补丁 对 终端 的 可 用 性 。 因 此 ,通常 将 此 类 补丁 设置 为 可 选 , 在 不 影 啊 终 六 正常 
工作 的 前 提 下 ,由 终端 用 户 日 主 选择 是 否 安装 。 例 如 ,KB951535 是 Microsoft XML Core 
Services 中 人 允许 远程 执行 代码 的 漏洞 ,由 于 安 闻 该 漏洞 的 补丁 后 有 很 大 概率 导致 Office 
2003 无 法 正 营 使 用 ,因此 将 其 设 为 可 选 补丁 ,以 保证 终 问 计 算 机 不 会 出 现 故 障 。 


5. 系统 蓝屏 修复 功能 

在 微软 公司 发 布 的 系统 漏洞 补丁 中 ,有 一 部 分 是 与 Windows 系统 内 核 相 关 的 ,修复 
的 是 系统 内 核 中 的 重要 漏洞 ,这 类 补丁 称 为 系统 内 核 补 丁 。 由 于 内 核 补 本 要 更 新 的 是 系 
统 关 键 位 置 ,而 部 分 修改 版 或 Ghost 版 Windows 操作 系统 的 第 三 方 开 发 者 ,对 Windows 
系统 运行 机 制 理解 不 够 深入 ,可 能 有 意 或 无 意 地 改动 了 这 些 关 键 位 置 , 其 至 残留 了 一 些 无 
用 的 垃圾 文件 或 信息 ,很 可 能 导致 使 用 这 种 Windows 系统 的 用 户 在 安装 系统 内 核 补丁 后 
出 现 系 统 蓝屏 或 无 法 启动 的 问题 ,使 终端 用 户 对 于 打 补 丁 产生 了 旦 惧 心 理 , 不 再 给 系统 安 
疫 补 丁 , 相 当 于 为 恶意 攻击 者 创造 了 可 利用 的 机 会 。 
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为 了 解决 终 闪 用 户 安 又 补丁 后 系统 无 法 司 动 的 问题 ,在 漏洞 管理 中 应 设置 系统 蓝屏 
修复 或 类 似 功 能 ,以 帮助 用 户 在 安 妆 补丁 并 发 生 蓝 屏 或 无 法 局 动 等 问题 后 快速 修复 系统 ， 
从 而 尽 可 能 地 保证 终端 安全 。 


6. 漏洞 定 丁 跟踪 机制 

MAPP(IMicrosoft Active Protections Program ,微软 主动 保护 计划 ) 是 由 微软 公司 安 
全 啊 应 中 心 (Microsoft Security Response Center,MSRC) 运 行 的 一 项 漏洞 管理 计划 ,该 
计划 使 合作 安全 软件 提供 商 能 够 在 微软 公司 每 月 安全 更 新 之 前 提前 获取 安全 漏洞 信息 。 
有 助 于 MAPP 合作 伙伴 更 快速 有 效 地 将 保护 功能 集成 到 其 安全 软件 或 便 件 产 品 ( 例 如 
防 病毒 软件 .NIDS 或 HIDS) 中 。 

微软 公司 通过 在 公开 发 布 安全 更 新 之 前 共 至 源 洞 信息 ,使 得 参与 MAPP 项 目的 安全 
软件 提供 商 能 够 及 时 获取 更 新 信息 ,为 客户 提供 保护 。 如 果 没 有 此 项 上 日 ,安全 软件 提供 商 
必须 等 到 微软 公司 公开 发 布 安全 公告 之 后 才能 开发 保护 措施 ，。 

终端 安全 管理 平台 可 以 结合 微软 公司 的 MAPP, 在 微软 公司 发 布 每 月 安全 公告 之 前 
获得 详细 的 漏洞 信息 ,通过 分 析 漏 洞 信息 ,在 第 一 时 间 开 始 漏 洞 补丁 的 发 布 工作 ,从 而 能 
够 及 时 维护 终端 用 户 的 系统 安全 。 


7. 严谨 的 漏洞 补丁 测试 

为 了 尽 可 能 地 保证 补丁 修复 的 准确 性 ,在 发 布 补丁 之 前 ,漏洞 管理 程序 需要 对 补丁 进 
行 大 量 的 严格 测试 ,根据 测试 结果 ,将 每 个 补丁 的 详细 描述 信息 展现 给 管理 员 和 用 户 , 以 
降低 系统 宕 机 的 发 生 概率 。 


8. 漏洞 补丁 问题 的 反馈 跟踪 

由 于 系统 和 软件 的 复杂 多 样 性 ,一 些 补丁 可 能 会 在 某 些 特殊 环境 下 存在 问题 ,在 安装 
后 可 能 会 影响 到 部 分 特殊 环境 下 的 用 户 的 正常 使 用 。 为 此 ,需要 建立 补丁 问题 的 反馈 跟 
踪 和 系统, 通过 数据 统计 和 用 户 的 反馈 ,针对 有 问题 的 补丁 ,及 时 调整 管理 发布 策 略 , 增 加 
必要 的 扫 摘 来 屏蔽 可 能 会 出 问题 的 系统 环境 ,也 可 以 采用 忽略 .删除 部 分 影响 较 大 的 补丁 
的 办 法 , 尽 一 切 可 能 减少 对 终 闪 用 户 的 影 


9. 热 补 丁 功 能 

热 修复 补丁 (hotfix, 简 称 热 补丁 ,又 称 为 patch) 指 能 够 修复 软件 漏洞 的 一 些 代 码 , 是 
一 种 快速 、 低 成 本 修复 软件 缺陷 的 方式 。 通 常情 况 下 , 热 补 丁 是 为 解决 特定 用 户 的 具体 问 
题 而 制作 的 。 

热 什 丁 通 闸 不 会 作为 常规 补丁 随 系 统 日 动 更 新 ,一 般 通 过 系统 推送 来 通知 用 户 有 关 
热 补 丁 的 消 明 ,用 户 可 以 在 软件 厂商 的 网 站 上 人 免费 下 载 热 补丁 。 与 升级 软件 版 本 相 比 , 热 
补丁 的 主要 优势 是 不 需要 中 断 设 备 当 前 正在 运行 的 业务 , 即 在 不 重启 终端 设备 的 情况 下 
对 终 蹦 设备 当前 软件 版 本 的 缺陷 进行 修复 。 

当 发 现 系统 有 严重 漏洞 ,但 官方 还 未 能 提供 有 效 的 补丁 来 修复 的 时 候 , 可 以 通过 热 补 
丁 的 方式 来 拦截 和 阻止 恶意 攻击 ,防止 漏洞 被 黑客 利用 ,保护 用 户 的 利益 。 
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病 安 全 管理 平台 可 以 与 澳 洞 啊 应 平台 进行 信息 联动 ,获取 最 新 漏洞 信息 ， apn 
人 了 二 生生 中 对 操作 系统 及 应 用 程序 进行 深度 加 固 。 比 较 知 名 的 漏洞 啊 应 平台 包括 
CVE、CNVD、CNNVD、 奇 安信 人 补 天 平台 等 。 终 问安 全 和 省 理 平台 与 汤 润 啊 应 平台 联动 ,可 
以 在 第 一 时 间 发 现 漏洞 ,为 终端 安全 运行 提供 情报 文 撑 和 技术 支持 。 


5.6.2 终端 安全 加 


终端 安全 管理 平台 需要 为 管理 员 提 供 终 端 安全 策略 管理 等 功能 ,管理 员 可 以 通过 控 

制 台 直接 对 网 络 内 所 有 终端 进行 安全 加 固 ,具体 功能 如 下 : 

(1) 通过 系统 API\` 注 册 表 、 组 策略 等 方法 加 固 系统 设置 。 

(2) 密码 策略 。 通 过 下 发 安全 生 略 修改 终端 中 的 组 策略 密码 等 相关 配置 。 

(3) 弱 口 令 检 测 。 通 过 将 系统 中 的 口令 与 弱 口令 库 中 的 弱 口 令 集合 进行 对 比 ,检测 
终 疹 用户 是 否 使 用 了 弱 口 令 ,并 应 设置 某 种 提醒 方式 ,以 通知 终端 用 户 修改 弱 口 令 。 为 了 
避免 涉及 用 户 隐 私 , 对 比 工 作 应 该 采用 本 地 运行 的 方式 。 

(4) 通过 修改 系统 配置 ,由 和 省 理 员 通过 控制 台 上 传 墙纸 并 统一 下 发 至 终 问 ,通常 其 内 
容 为 信息 安全 意识 .企业 安全 管理 制度 等 相关 内 容 的 宣传 。 


5.6.3 安全 配置 基线 


近年 来 ,在 政府 机 关 、 企 事业 单位 等 组 织 机 构 中 发 生 了 多 起 信息 泄露 .遭受 财产 勒索 

等 信息 安全 事件 ,其 中 很 多 是 由 于 终端 受到 各 种 恶意 代码 入 侵 而 造成 的 ,主要 原因 是 终 闯 
的 安全 配置 标准 过 低 , 没 有 定期 对 终 问 的 安全 环境 进行 检测 和 评 信 。 

安全 配置 基线 主要 用 于 降低 由 于 安全 配置 低 、 安 全 控制 不 足 引 起 的 安全 风险 ,以 最 佳 

安全 实践 为 标准 实现 安全 配置 。 通 过 威胁 评 信 功能 ,从 终端 系统 本 号 出 发 ,完善 终 问 系统 

安全 加 固体 系 , 通 过 制定 日 主 可 控 的 安全 标准 ,对 终 病 安全 基线 进行 检测 。 检 测 后 生成 可 

视 化 的 安全 基线 不 达标 问题 ,帮助 管理 者 依照 安全 标准 对 终 半 进行 加 固 ,以 降低 终 病 的 安 


5.6.4 器 日 名 单机 制 


在 终 痪 安全 管理 措施 中 , 黑 日 名 单机 制 是 一 种 基本 的 访问 控制 机 制 。 它 通过 有 某 些 元 
素 ( 例 如 电子 邮件 地 址 .用户 名 、 密 码 .URL IP 地 址 域名、 文件 哈 希 值 等 ) 进 行 基本 的 访 
问 控 制 。 黑 白 名 单机 制 可 以 广泛 应 用 于 信息 系统 安全 体系 结构 中 的 各 个 实体 (例如 主机 、 
Web 代理 服务 硕 、 DNS 服务 规 .电子 邮件 服务 融 、 防 火 坪 、 目 录 服 务 需 或 应 用 程序 身份 验 
证 网 关 等 )。 

黑 名 单 ( 或 称 阻止 列表 ) 意 味 着 名 单列 表 中 的 内 容 被 拒绝 访问 或 通过 。 黑 名 单 在 文件 
管理 `.URL 管理 ,用户 管理 ,应 用 管理 以 及 密码 管理 中 都 得 到 了 广泛 运用 。 例 如 ,在 口令 
管理 中 ,将 稼 见 的 弱 口 令 列 为 黑 名 单 , 在 用 户 设 置 口 令 时 禁止 用 户 使 用 黑 名 单 中 的 弱 口 
令 ,通过 这 种 方式 可 以 抵御 弱 口 令 攻击 。 从 黑 名 单 的 工作 方式 来 看 , 黑 名 单 只 能 对 已 知 的 安 
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全 威胁 进行 防御 ,对 于 无 法 确定 拦截 特征 元 素 的 0Day 漏洞 ,未知 病 毒 等 安全 威胁 无 能 为 力 。 

日 名 单 意 味 着 只 有 名 单列 表 中 的 内 容 才 可 以 访问 或 通过 。 其 应 用 场景 与 黑 名 单 基本 
上 是 相同 的 ,但 与 墨 名 单 工作 机 制定 有 区 别 的 。 黑 名 单 的 工作 机 制 可 以 理解 为 “ 宽 进 宽 
出 ”的 模式 , 震 名 单列 出 的 都 是 锌 禁止 的 ,但 只 要 不 是 黑 名 蛙 中 被 禁止 的 内 容 痢 可 以 通过 ; 
而 日 名 单 的 工作 机 制 是 只 有 日 名 单 中 的 内 容 可 以 通过 ,可 以 理解 为 * 移 进 严 出 ”的 模式 。 日 
名 单 的 优点 在 于 可 以 抵御 未 知 威胁 ,但 由 于 其 工作 机 制 的 特点 ,用 户 不 能 运行 在 日 名 单 之 外 


的 \ 未 经 授权 的 应 用 或 业务 。 如 采 在 信息 系统 中 要 增加 应 用 .业务 等 内 容 , 需 要 对 日 名 单 进 
行 大 量 的 维护 工作 ,避免 无 法 通过 日 名 单 审查 的 问题 出 现 , 所 以 日 名 单 的 优点 也 是 缺点 。 


除了 黑白 名 单 外 ,在 信息 安全 领域 还 有 灰 名 单 和 红 名 单 。 

灰 名 单 介 于 黑 名 单 和 日 名 单 之 间 , 在 未 证 明 灰 名 单列 表 中 的 内 容 是 否 有 害 时 ,暂时 阻 
止 (或 暂时 允许 的 ) 该 内 容 , 以 其 后 续 的 信息 ,行为 等 作为 处 理 依据 来 判断 是 否 需 要 将 其 移 
人 黑 名 单 或 日 名 和 单 。 灰 名 单 的 典型 应 用 是 保护 电子 邮件 免 受 垃圾 邮件 侵害 ,其 基本 的 过 
程 是 : 为 每 个 传人 的 邮件 消息 记录 3 个 数据 ( 称 为 “三 元 组 ”) : 连接 主机 的 IP 地 址 ,发 件 
人 地 址 和 收 件 人 地 址 ,对 该 邮件 临时 拒绝 并 回 送 临 时 错误 代码 (4xx) ,同时 将 该 记录 保存 
在 灰 名 单 中 。 如 果 邮 件 发 送 服务 器 是 正 稼 的 邮件 服务 商 , 则 会 重新 排队 和 莹 试 发 送 邮件 。 
如 果 发 件 人 已 证 明 自 己 能 够 正确 重 发 邮件 , 则 会 将 其 列 入 白 名 单 , 以 便 其 将 来 的 邮件 传递 
竹 试 不 受阻 碍 :如 果 邮 件 发 送 服 务 右 没有 完成 正 笛 的 邮件 重 发 流程 , 则 会 将 灰 名 单 中 对 应 
的 邮件 发 送 服务 顺 列 人 黑 名 单 。 

红 名 单 是 优先 级 最 高 的 名 单 , 只 要 是 名 单 中 的 内 容 , 就 可 以 不 有 党 限制 地 运行 或 访问 ， 
而 不 受 其 他 策略 .规则 的 限制 。 通 常 此 类 应 用 场景 是 终端 中 必须 运行 的 应 用 程序 (例如 是 
制 开 发 的 业务 系统 应 用 程序 ) 和 不 限制 访问 的 网 站 (例如 政府 门户 、 专 有 业务 系统 ) 等 。 

在 信息 系统 中 , 除 黑 日 名 单机 制 外 ,通常 将 多 种 工作 机 制 混合 使 用 ,单独 的 任何 一 种 
控制 机 制 均 已 不 能 满足 信息 系统 抵御 日 益 复 洋 的 安全 威胁 的 需要 。 例 如 ,第 见 的 防火 声 
设备 ,其 典型 工作 方式 是 ,采用 日 名 单 工作 机 制 以 抵御 未 知 威 胁 , 而 对 于 内 容 控 制 多 采用 
黑 名 单机 制 ; 而 防 病毒 软件 通常 采用 黑 名 单 工 作 机 制 以 抵御 已 知 的 病毒 .木马 等 恶意 程 
序 , 即 将 疑似 病毒 的 特征 码 值 与 黑 名 单 进 行 匹 配 和 过 滤 , 但 为 降低 误 报 率 ,常常 采用 白 名 
单方 式 保护 已 知 的 安全 文件 。 

5.6.5 审计 管理 

在 国家 颁布 的 《信息 技术 开放 系统 互 连 系统 管理 第 8 部 分 : 安全 审计 跟 蹊 功能 》 
(GB/T 17143.8 一 1997 ,等 效 于 ISO/IEC10164-8: 1993 及 ISO/IEC10164-8: 1993/Cor. 
1:1995) 标准 中 ,对 安全 审计 跟踪 功能 进行 了 定义 : 安全 审计 跟踪 功能 是 一 项 系统 管理 
功能 , 它 供 应 用 进程 在 集中 式 或 分 散 式 管理 环境 中 交换 信息 和 命令 ,以 便 实 现 与 4 信息 处 
理 系 统 开放 系统 互 连 基本 参考 模型 第 4 部 分 : 管理 框架 》(GB/T 9387.4 一 1996)( 等 效 
于 ISO/IEC 7498-4:1989 及 CCITT X.700:1992) 相 关 的 系统 管理 。 该 标准 定义 了 由 安全 
审计 跟踪 报告 功能 提供 的 服务 ,规定 了 为 提供 服务 所 必需 的 协议 ,定义 了 服务 与 管理 通知 
之 间 的 关系 ,定义 了 与 其 他 系统 管理 功能 之 间 的 关系 以 及 规定 一 致 性 要 求 。 

在 终端 系统 中 ,安全 审计 是 根据 一 定 的 安全 策略 ,通过 记录 和 分 析 终 端 中 的 历史 事件 
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及 数据 ,发 现 能 够 改进 系统 性 能 和 系统 安全 的 地 方 。 它 的 目的 是 : 保证 网 络 系统 安全 运 
行 ,保护 数据 的 保密 性 .完整 性 及 可 用 性 不 受 破坏 ;防止 有 意 或 无 意 的 人 为 错误 ;防范 和 发 
现 计算 机 网 络 犯罪 活动 。 除 采取 相关 的 安全 措施 外 ,利用 审计 机 制 可 以 有 针对 性 地 对 网 
络 运行 的 状况 和 过 程 进行 记录 .跟踪 和 审查 ,从 中 发 现 安全 问题 。 安 全 策略 事件 审计 能 够 
针对 计算 机 终端 所 有 触发 安全 策略 的 事件 进行 审计 ,包括 文件 操作 审计 .打印 审计 、 外 设 
使 用 日 志 审计 、 软 件 使 用 日 志 审计 、 系 统 账 号 活动 日 志 审 计 , 终 端 开关 机 日 志 审计 、 邮 件 记 
录 审计 等 ， 

1. 文件 操作 审计 

在 企业 中 ,每 个 终端 中 都 或 多 或 少 地 存在 各 种 各 样 的 企业 信息 , 它 可 能 是 日 常 的 办 公 
纪要 ,也 可 能 是 涉及 企业 机 密 的 关键 信息 。 这 些 终端 中 以 各 种 形态 存在 的 关键 信息 都 关 
系 到 涉 密 数据 的 外 泄 ,数据 安全 性 评估 功能 需要 统计 终端 中 的 关键 信息 ,通过 关键 信息 的 
评估 ,可 以 直观 地 量化 终端 中 存在 的 敏感 数据 或 涉 密 信息 的 数量 ,有 效 控制 和 保障 终端 数 
据 的 安全 性 . 

文件 操作 审计 与 控制 功能 可 以 针对 指定 目录 中 的 文件 或 指定 后 级 名 的 文件 的 读 、 写 、 
新 建 .复制 .删除 .改名 .移动 等 操作 行为 进行 审计 和 阻 断 。 同 时 ,对 于 计算 机 终端 共享 目 
录 的 访问 以 及 终端 用 户 对 网 络 文件 的 访问 也 可 进行 详尽 的 审计 ， 


2. 打印 审计 与 控制 

打印 审计 与 控制 功能 可 以 针对 计算 机 终端 的 本 地 或 网 络 打印 行为 进行 审计 ,也 可 以 
直接 对 计算 机 终端 的 本 地 或 网 络 打印 行为 进行 管控 ,保护 用 户 有 限 的 打印 资源 ,同时 避免 
企业 核心 机 密 通 过 纸 质 打印 方式 外 泄 。 

1) 通信 接口 泄密 

通信 接口 是 打印 机 与 外 界 进行 数据 交互 的 主要 渠道 。 防 止 通信 接口 泄密 应 从 以 下 两 
方面 着 手 ， 

(1) 打印 机 应 避免 配置 多 余 的 外 部 通信 接口 ,只 保留 以 太 网 接口 和 USB 接口 等 必要 
的 通信 接口 ,并 严格 控制 每 种 接口 的 数量 。 

(2) 管理 员 应 能 够 对 通信 接口 的 开局 和 关闭 进行 管控 ,并且 在 默认 情况 下 通信 接口 
应 处 于 关闭 状态 。 

2) 网 络 接 入 泄密 

防止 打印 机 产生 网 络 接 入 泄密 ,重点 是 保证 重要 信息 系统 网 络 中 的 打印 机 与 外 部 网 
络 的 物理 隔离 ,可 以 从 以 下 两 方面 着 手 : 

(1) 打印 机 应 被 限定 在 固定 场所 内 使 用 ,并 且 只 能 通过 内 部 网 络 进行 打印 作业 。 

(2) 打印 机 一 旦 与 外 部 网 络 连 接 , 应 给 予 声音 ,灯光 等 形式 的 警告 提示 ,或 以 内 网 邮 
件 形式 通知 管理 员 ,并 能 够 立即 切断 与 外 部 网 络 的 连接 。 

3) 数据 传输 泄密 

防止 数据 传输 泄密 需要 从 以 下 3 个 方面 着 手 : 

(1) 用 户 同 打印 机 下 发 的 打印 数据 需 经 过 加 密 处 理 后 册 进 行 传 输 , 从 源头 上 保证 打 
印 数据 的 安全 。 
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(2) 应 为 打印 机 设置 私有 协议 ,保证 打印 数据 通过 不 同 于 通用 协议 的 本 地 私有 协议 
进行 传输 。 

(3) 传输 介质 宜 选用 经 过 严密 防护 的 数据 电费 或 光纤 ,防止 打印 数据 被 物理 劫持 。 

4) 硒鼓 泄密 

硒鼓 是 打印 机 的 核心 部 件 之 一 ,也 是 打印 机 泄密 的 主要 途径 之 一 ,需要 从 以 下 3 个 方 
面 着 手 : 

(1) 保证 硒 至 中 不 配备 任何 形式 的 电路 板 悉 厂 , 防 止 打印 数据 被 非法 甸 取 。 

(2) 厅 误 应 具备 静电 清除 能 力 , 当 完成 打印 作业 后 , 厅 慌 应 立即 释放 残余 电 傈 ,防止 
静电 残留 。 

(3) 每 打印 完 一 份 文件 ,打印 机 应 目 动 擦 除 OPC( 硒 鼓 的 成 像 组 件 ) 潜 像 , 确 保 已 打 
印 资 料 不 被 二 次 打印 。 

5) 内 存 数 据 泄 密 

打印 机 内 存 负责 缓存 打印 数据 。 当 打印 作业 完成 后 ,打印 机 应 立即 对 内 存 数 据 进行 
清除 。 同 时 ,打印 机 还 应 具备 手动 内 存 清 除 按键 ,方便 用 户 手动 清除 内 存 数 据 , 保 证 打印 
信息 在 打印 机 中 的 生存 周期 可 控 。 

6) 永久 性 存储 和 希 泄 密 

永久 性 存储 器 能 够 轻易 地 记录 打印 信息 , 且 不 易 丢 失 , 是 打印 数据 泄露 的 重要 途径 之 
一 。 因 此 ,不 应 为 打印 机 配备 硬盘 存储 卡 或 存储 心 片 等 形式 的 永久 性 存储 闫 ,杜绝 打印 
数据 用户 信息 和 主机 信息 被 非法 存储 。 

7) 软 人 硬件 安全 性 不 可 摊 

打印 机 主要 核心 部 件 , 如 厅 襄 .中 探 等 ,应 拥有 目 主 知识 产权 ,并 为 国内 正规 广 商 目 主 
研 发 .生产 和 制造 ,保证 打印 机 硬件 和 耗材 的 安全 可 探 。 此 外 ,打印 机 管理 系统 和 驱动 程 
序 应 由 打印 机 广 商 日 主 开发 ,保证 打印 机 软件 的 安全 可 控 。 

8) 固件 泄密 

国 件 ( 设 备 内 部 保存 的 设备 驱动 程序 ) 是 打印 机 的 核心 软件 。 保 证 打印 机 固件 安全 ， 
可 以 从 以 下 两 方面 着 手 : 

(1) 要 求 打印 机 具备 对 非法 固件 的 主动 识别 能 力 。 例 如 ,可 在 固件 中 加 入 唯一 性 可 
信和 凭据, 只 有 通过 了 可 信和 性 验证 的 固件 才 被 允许 安装。 

(2) 当 打 印 机 检测 到 非法 固件 时 ,应 拒绝 安 冯 ,并 立即 删除 非法 固件 ,同时 加 管理 员 
发 出 警告 。 

9) 打印 管控 风险 

在 重要 信息 系统 网 络 中 ,信息 的 输出 应 采取 集中 管控 模式 ,信息 输出 点 配置 规则 应 召 
循 最 小 化 原则 。 同 时 对 信息 输出 应 具备 严格 的 审计 程序 ,可 从 以 下 几 方 面 加 以 应 对 

(1) 重要 信息 系统 网 络 中 的 打印 作业 应 采取 集中 打印 和 集中 管理 模式 ,保证 信息 输 
出 可 控 。 

(2) 采用 可 信 打 印 技 术 。 即 在 打印 任务 下 发 至 打印 机 后 ,用 户 必 须 在 打印 机 痪 输入 
密码 .指纹 等 可 信和 凭据 后 ,文档 方 能 被 打印 , 且 打 印 机 在 完成 打印 作业 后 应 给 出 声音 .灯光 
等 形式 的 反馈 信息 ,以 提醒 授权 用 户 及 时 取 走 打印 文件 。 
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(3) 打印 机 应 具备 完善 的 打印 审计 系统 , 且 应 管理 方便 .界面 友好 ,同时 审计 系统 应 
具备 明确 的 管理 员 权 限 划 分 ,不 同 管理 员 之 间 应 相互 独立 ,相互 制约 ,分 工 明确 。 

(4) 审计 系统 应 具备 全 面 、 丰 定 的 安全 开 上 略 控制 项 ,能 够 对 用 户 的 打印 权限 进行 细 炸 
度 的 审批 和 授权 ,并 能 够 清晰 ,准确 地 记录 用 户 和 管理 员 的 打印 和 操作 上 日志, 便于 事后 
济源 。 

3. 外 设 使 用 日 志 审 计 

外 设 使 用 日 志 审 计 的 原理 与 5.4 市 中 的 外 部 设备 控制 方式 相同 ,在 外 设 接 入 时 ,通过 
设备 过 滤 驱 动 程序 截获 信息 ,以 此 信息 来 进行 外 设 使 用 日 志 的 审计 。 


4. 软件 使 用 日 志 审 计 
软件 使 用 日 志 审 计 通 过 驱动 拦截 进程 创建 ,根据 安全 策略 的 相关 设置 ,确定 目标 进程 
是 否 在 进程 审计 名 单 中 ,如 果 是 , 则 进行 相应 的 审计 。 


5. 系统 账号 活动 日 志 审 计 
系统 账号 活动 日 志 审 计 通 过 系统 API 获取 系统 账号 活动 日 志 进 行 审计 。 


6. 终端 开关 机 日 志 审 计 
终端 开关 机 日 志 审 计 通 过 系统 API 获取 开关 机 日 志 并 进行 审计 。 


7. 邮件 记录 审计 

电子 邮件 是 政 企 机 构 办 公 的 重要 工具 ,也 是 恶意 攻击 者 首选 的 攻击 目标 之 一 。 有 调 
查 结果 显示 ,采用 钓鱼 邮件 和 恶意 邮件 附件 的 攻击 事件 占有 所 有 被 调查 安全 事件 总 数 的 
1/3。 根 据 360 威胁 情报 中 心 发 布 的 42017 年 中 国企 业 邮 箱 安全 性 人 研究 报告 指出 ,截至 
2017 年 12 月 ,活跃 的 中 国政 企 机 构 独 立 邮 箱 域名 约 为 500 万 个 ,中 国境 内 企业 级 电子 邮 
箱 活 路 用户 规模 约 为 1.2 亿 个 ,全 国企 业 级 电子 邮箱 用 户 平均 每 天 收发 电子 邮件 约 16. 1 
亿 封 。 在 企业 级 电子 邮箱 用 户 收 发 的 邮件 中 , 正 笛 邮件 占 25.4%% ,普通 垃圾 邮件 占 
64.7% ,钓鱼 邮件 占 4.08% , 带 毒 邮 件 占 2.12% ,谣言 反动 邮件 占 2.23% ,色情 、 赌 博 等 违 
法 信息 推广 邮件 占 1.47%。 从 收集 到 的 数据 得 知 ,2017 年 在 企业 级 电子 邮箱 收发 的 邮件 
中 仅 有 约 1/4 为 正 第 邮件 , 垃 拟 邮件 及 其 他 各 类 非法 .恶意 邮件 等 非 正 稼 邮件 的 数量 是 正 
常 邮件 数量 的 3 倍 左右 ,如 图 5-5 所 示 。 


钓鱼 邮件 


4.08% 
pe 
一 212% 


”一 一 语言 反动 邮件 
2.23% 


违法 信息 推广 邮件 
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图 5-5 企业 级 电子 邮箱 收发 邮件 类 型 分 布 
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该 研究 报告 数据 同时 表明 ,从 2017 年 起 ,僵尸 网 络 开 始 被 大 量 地 应 用 于 垃圾 邮件 攻 
击 。 与 传统 的 垃圾 邮件 攻击 方式 不 同 , 使 用 僵尸 网 络 发 送 垃圾 邮件 的 攻击 者 并 非 通过 少 
数 被 控制 的 邮箱 集中 大 量 发 送 内 容 完 全 相同 的 电子 邮件 ,而 是 通过 其 控制 的 大 量 散布 在 
全 球 各 地 的 各 类 电子 邮箱 分 时 、 分 布 式 地 发 送 大 量 内 容 并 不 完全 相同 ,但 具有 一 定 相关 性 
的 垃圾 邮件 。 僵 尸 网 络 发 送 垃圾 邮件 的 特点 使 得 大 多 数 传统 的 反 垃 圾 邮件 网 关 及 传统 的 
反 垃 圾 邮件 策略 难以 徐 效 。 

思科 公司 发 布 的 42018 年 度 网 络 安全 报告 指出 ,邮件 仍然 是 恶意 软件 分 发 的 重要 炬 
道 ,由 于 钓鱼 攻击 对 于 知 取 用 户 赁 证 和 其 他 敏感 信息 最 直接 也 最 有 效 , 钓 鱼 邮 件 和 鱼 又 攻 
击 邮 件 成 为 近年 来 重大 数据 泄露 事件 的 根本 原因 之 一 。 思 科 公 司 威胁 情报 中 心 通 过 对 鱼 
叉 攻 击 邮 件 的 抽样 分 析 得 出 以 下 结论 : 以 订单 类 为 主题 的 鱼 叉 攻击 邮件 最 多 , 占 比 高 达 
39.8% ;排名 第 二 的 主题 是 支付 类 , 占 比 为 19.4%。 攻 击 者 的 首选 攻击 目标 是 企业 , 占 比 
高 达 61.5%% ;其 次 为 金融 机 构 , 占 比 为 14.7%; 排 名 第 三 的 是 政府 机 构 , 占 比 为 7.1%。 在 
鱼 义 攻 击 邮 件 中 ,攻击 者 在 邮件 中 最 喜欢 携带 的 文档 为 Office 文档 , 占 比 高 达 65.4% ;其 
次 为 RTF(Rich Text Format, 富 文本 格式 ) 文 档 , 占 比 达 到 了 27.3%。 通 过 对 摩 订 草 组 
织 及 国内 某 特 殊 行业 企业 遭 到 鱼 又 攻击 邮件 攻击 的 分 析 可 以 发 现 , 攻 击 者 大 量 使 用 社会 
工程 学 手法 ,邮件 极 具 迷 惑 性 ,终端 用 户 很 难 识 破 。 鱼 叉 攻击 邮件 主题 及 攻击 行业 分 析 如 
图 5-6 所 示 。 
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图 5-6 和 鱼 义 攻击 邮件 主题 及 攻击 行业 分 析 


为 应 对 邮件 引发 的 安全 威胁 ,美国 国土 安全 部 于 2017 年 10 月 发 布 命令 ,要求 所 有 政 
府 机 构 的 域名 必须 采用 发 件 人 和 宋 略 框架 (Sender Policy Framework,SPF) 以 及 基于 域 的 
邮件 验证、 报告 与 一 致 性 (Domain-based Message _ Authentication，Reporting and 
Conformance,DMARC) 记 录 机 制 来 保护 邮件 。 

2017 年 11 月 ,中 国 公安 部 网 络 安全 保护 局 台 开 党 政 机 关 事业 单位 和 国有 企业 互联 
网 电子 邮件 系统 安全 专项 整治 工作 电视 电话 会 议 , 要 求 梳理 排查 邮件 系统 基本 情况 ,开展 
邮件 系统 集中 建设 工作 ,加强 邮件 系统 网 络 安全 等 级 保护 ,加 强 邮件 系统 建设 安全 管理 ， 
加 强 邮 件 系 统 的 应 急 处 置 工作 。 关 于 安全 管理 , 提 及 了 防 钓鱼 、 防 客 密 、 防 病毒 \ 反 垃圾 、 
内 容 过 滤 、 安 全 审计 这 几 个 关键 安全 保护 措施 。 这 次 会 议 对 于 国内 邮件 安全 工作 方向 有 
指导 意义 。 

邮件 记录 审计 是 终 闪 安全 防护 需要 重点 关注 的 对 象 ,根据 邮件 攻击 的 扩 术 手段 ,审计 
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涉及 的 安全 技术 主要 有 刁 份 认证 .邮件 协议 、 防 病毒 .DLP 等 内 容 。 为 了 防范 邮件 引起 的 
终 病 安全 隐患 ,需要 在 邮件 管理 实施 中 注意 以 下 几 方 面 : 

(1) 登录 安全 。 定 期 更 换 口 令 , 避 人 免 使 用 弱 口令 ,结合 动态 密 保 、 短 信 验 证 码 等 辅助 
验证 方式 ,采用 合理 高效 的 高 安全 口令 策略 设置 登录 口令 ,抵御 口令 破解 。 

(2) 传输 安全 。 邮 件 客 户 冰 与 邮件 服务 硕 册 之 间 利 用 加 密 技 术 对 传输 的 数据 进行 加 
密 处 理 ,常用 的 传输 加 密 方 式 有 SSL、TLS, 以 及 对 邮件 加 密 的 国家 商 密 算法 SM9 PKI/ 
CA、PGP 等 ,实现 内 容 和 传输 过 程 的 传输 安全 防护 。 

(3) 使 用 安全 。 对 于 敏感 邮件 内 容 和 附件 应 做 好 加 密 指 施 ,并 且 邮 件 中 不 能 附 市 解 
密 密 人 码 ; 对 重要 邮件 做 好 备份 ,防止 被 攻击 后 引起 的 文件 丢失 ;禁止 不 同 密级 邮件 随意 转 
发 ,尤其 是 高 密级 癌 低 密级 方向 的 非法 转发 ;及 时 对 邮件 服务 帮 羡 的 邮件 数据 进行 远程 擦 
除 , 避 人 免 邮件 服务 妖 问 留 存 邮 件 记 录 , 导 致 泄密 事件 。 应 充分 利用 信息 安全 防护 措施 对 邮 
件 内 容 、 附 件 进 行 监管 ,这 些 信 息 安 全 防护 措施 包括 各 类 信息 安全 设备 和 软件 (例如 防火 
墙 \WAF、DLP 等 ), 以 防止 内 部 敏感 数据 泄露 。 同 时 ,也 应 避免 因 内 部 个 别 终端 沦陷 而 
使 信息 系统 面临 巨大 的 安全 风险 。 

(4) 防御 安全 。 需 要 在 信息 系统 中 增加 电子 邮件 网 关 的 设置 ,用 于 发 现 和 阻止 网 络 
钓鱼 . 亚 意 软件 和 垃圾 邮件 。 同 时 ,对 邮件 服务 需 目 身 也 应 这 循 相关 的 安全 要 求 进 行 必要 
的 设置 ,避免 邮件 服务 器 沦陷 。 如 果 邮 件 系 统 使 用 托管 的 第 三 方 服务 商 , 也 应 要 求 服 务 商 
提供 相关 的 邮件 安全 服务 。 

终 病 用户 目 身 也 是 电子 邮件 安全 保障 体系 中 的 重要 一 环 。 加 强 用 户 安全 意识 ,定期 
进行 安全 意识 培训 ,使 终端 用 户 了 解 邮 件 安 全 注意 事项 (例如 定期 更 换 口 令 .保存 好 密码 
信息 等 ) ,做 到 技术 与 管理 双管齐下 ,才能 逐步 提高 信息 系统 的 安全 性 。 


5.6.6 数据 安全 管理 


随 看 终 问 计算 机 在 各 行 各 业 的 普 训 应 用 ,办 公文 件 , 设 计 图 纸 、 财 务 报表 、 业 务 数据 等 
各 类 数据 痢 以 电子 文件 的 形态 在 不 同 的 设备 (例如 用 户 终 端 、 服 务 硕 、 网 络 设备 .便民 业务 
终端 、 云 问 等 ) 上 和 存储、 流转 和 使 用 ,数据 安全 已 经 成 为 政府 .军队 ,企业 及 个 人 最 为 天 注 的 
问题 。 从 宏观 上 看 ,各 种 网 络 安全 产品 ` 终 端 安全 产品 ` 云 安全 产品 等 所 奶 求 的 根本 目标 
束 是 保护 数据 安全 ,然而 ,层出不穷 的 各 类 数据 汇 露 事件 充分 说 明 : 单纯 从 网 络 边界 建立 
安全 防护 体系 的 和 尝 试 是 不 成 功 的 ,APT、 蔓 宗 软 件 等 已 经 可 以 成 功 攻 击 有 用户 的 核心 数据 
文件 ;同时 ,由 于 外 部 苋 委 的 加 剧 ,组 织 机 构 内 部 人 员 往 往 受 利益 驱使 主动 泄露 敏感 数据 ， 
在 给 组 织 机 构 审 来 信和 党 和 利益 损失 的 同时 ,也 天 重 乞 害 了 组 织 机 构 信 息 系 统 的 安全 。 同 
时 , 随 肴 数据 挖掘 、 机 需 学 习 、 人 工 午 能 等 扩 术 的 发 展 , 数 据 分 析 能 力 不 断 提升 。 即 使 通过 
数据 清洗 .匿名 等 技术 对 信息 进行 处 理 ,信息 泄露 的 安全 风险 依然 存在 。 

信息 社会 在 互联 网 应 用 普及 和 对 互联 网 严重 依赖 的 背景 之 下 ,由 于 信息 安全 源 洞 造 
成 的 个 人 敏感 信息 泄露 事件 频 发 。 个 人 敏感 信息 的 泄露 主要 通过 人 为 倒 丑 .手机 泄露 、 炳 
毒 感染 和 网 站 汤 洞 等 途径 实现 。 因 此 ,防范 个 人 敏感 信息 泄露 ,保护 个 人 隐私 ,除了 个 人 
要 提高 自我 信息 保护 意识 以 外 ,为 了 积极 应 对 数据 安全 风险 和 挑战 ,国家 也 正在 积极 推进 
保护 个 人 信息 安全 的 立法 进程 《中 华人 民 共 和 国 完 法 兴 中 华人 民 共 和 国民 法 通则 兴 中 
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华人 民 共 和 国 侵 权 责 任 法 兴 中 华人 民 共 和 国 刑 法 修正 案 》 等 法 律 法 规 对 个 人 信息 的 保护 
均 有 所 体现 .《 中 华人 民 共 和 国 网 络 安全 法 》 于 2017 年 6 月 1 日 起 实施 ,具有 里 程 碑 式 的 
意义 ,为 我 国 对 个 人 敏感 信息 的 保护 奠定 了 坚实 的 法 律 基础 。2017 年 颁布 的 (信息 安全 
技术 个 人 信息 安全 规范 》(GB/T 35273 一 2017) 《信息 安全 技术 移动 智能 终端 个 人 信息 
保护 技术 要 求 》(GB/T 34978 一 2017)《 信 息 安全 技术 数据 服务 安全 能 力 要 求 )(GB/T 
35274 一 2017) 等 国家 标准 进一步 明确 了 对 收集 .保存 、 使 用 .共享 .转让 .公开 披露 等 个 人 
言 息 处 理 活动 的 详细 规定 ,有 利于 平衡 商业 行为 与 个 人 隐私 权益 ,也 为 企业 ,监管 部 门 和 
第 三 方 评估 机 构 的 监督 .管理 .评估 提供 了 基本 依据 。 

除了 国家 法 律 法 规 和 标准 之 外 ,政府 机 构 、 各 行 各 业 也 在 数据 安全 方面 提出 了 针对 各 
日 业 务 场景 的 相关 要 求 、 规 范 。 例 如 ,贵州 省 发 布 的 《政府 数据 分 级 分 类 指南 》(DB52T 
1123 一 2016) ,以 及 《中 央企 业 商 业 秘 密 信 息 系 统 安全 技术 指引 》《 电 信和 互联 网 用 户 个 人 
信息 保护 规定 》《 国 家 电网 公司 网 络 与 信息 系统 安全 管理 办 法 》《 商 业 银 行 信息 科技 风险 
管理 指引 》 等 相关 行业 的 数据 安全 管理 措施 。 

ISOVIEC 国际 电信 联盟 电信 标准 分 局 (ITU-T) NIST 都 制定 了 有 关 数 据 安 全 的 标 
准 规范 ,例如 ,NIST 发 布 了 包括 SP 800-122 和 NISTIR 8053 在 内 的 多 项 数据 安全 相关 
标准 。 欧 盟 也 于 2018 年 发 布 并 实施 了 《通用 数据 保护 条 例 》, 其 目标 是 对 欧盟 管辖 范围 内 
的 个 人 敏感 数据 进行 法 律 保护 ,并 制定 了 个 人 敏感 数据 的 保护 规则 和 相关 的 处 罚 措 施 。 


1. 敏感 信息 分 类 

敏感 信息 是 指 不 当 使 用 或 未 经 授权 被 人 接触 或 修改 后 ,会 产生 不 利于 国家 和 组 织 机 
构 的 负面 影响 和 利益 损失 ,或 不 利于 个 人 依法 享有 的 个 人 隐私 的 所 有 信息 。 敏 感 信息 根 
据 信息 种 类 的 不 同 可 以 分 为 个 人 敏感 信息 、 商 业 敏 感 信息 、 国 家 秘密 。 由 于 涉及 国家 秘密 
的 信息 系统 通常 采用 专用 网 络 、 系 统 、 官 理 方 式 进 行 保 护 , 泄 露 风 险 相 对 较 低 ,因此 本 书 重 
点 关注 个 人 敏感 信息 及 商业 敏感 信息 ,对 国家 秘密 仅 做 概要 性 介绍 。 

1) 个 人 敏感 信息 

中 华人 民 共 和 国 最 高 人 民法 院 、 最 高 人 民 检 察 院 对 公民 个 人 信息 进行 了 解释 , 即 , 以 
电子 或 者 其 他 方式 记录 的 能 够 单独 或 者 与 其 他 信息 结合 识别 特定 卓然 人 号 份 或 者 反映 特 
定 日 然 人 活动 情况 的 各 种 信息 ,包括 姓名 、 号 份 证 件 号 人 码 、 通 信和 联系 方式 ,住址 ,账号 密友、 
财产 状况 ,行踪 轨迹 等 。 

最 高 人 民法 院 的 司法 解释 指明 了 个 人 敏感 信息 的 种 类 : 

(1) 基本 信息 。 包 括 姓 名 、 性 别 、 年 龄 ,号 份 证 号 人 码 、 电 话 号 个 、.Email 地 址 及 家 性 住 
址 等 ,有 时 甚至 会 包括 婚姻 ,信仰 职业, 工作 单位 收入、 病历 、 生 育 等 内 容 。 

(2) 设备 信息 。 是 指 个 人 信息 主体 使 用 各 种 计算 机 终端 设备 (包括 移动 终端 和 固定 
终端 ) 的 基本 信息 ,如 位 置信 息 、WiFi 列表 信息 .MAC 地 址 .CPU 信息 、 内 存 信 息 、SD 卡 
信息 等 。 

(3) 账户 信息 。 主 要 包括 银行 账号 (特别 是 网 银 账号 ) .第 三 方 支付 账号 .社交 账号 和 
重要 邮箱 账号 等 。 

(4) 隐私 信息 。 主 要 包括 通讯 录 信 息 、 通 话 记 录 、 短 信 记 录 、 即 时 通信 应 用 软件 聊天 
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记录 .个 人 视频 .照片 等 ,甚至 包括 个 人 健康 记录 .生物 特征 等 。 

(5) 社会 关系 信息 。 主 要 包括 好 友 关 系 、 家 庭 成 员 信 息 .工作 单位 信息 等 。 

(6) 网 络 行为 信息 。 主 要 是 指 上 网 行为 记录 ,如 上 网 时 间 、 上 网 地 点 .输入 记录 、 聊 天 
交友 情况 .网 站 访问 行为 ,网络 游 戏 行为 等 信息 。 

在 《信息 安全 技术 个 人 信息 安全 规范 》(GB/T 35273 一 2017) 中 ,对 个 人 信息 和 个 人 
敏感 信息 作出 了 清晰 界定 。 个 人 信息 是 以 电子 或 者 其 他 方式 记录 的 能 够 单独 或 者 与 其 他 
信息 结合 识别 特定 日 然 人 号 份 或 者 反映 特定 日 然 人 活动 情况 的 各 种 信息 ,包括 姓名 、 出 生 
日 期 身份 证 件 号 码 、 个 人 生物 识别 信息 ,住址 、 通 信和 联系 方式 、 通 信 记 录 和 内 容 、 账 号 密 
码 、 财 产 信 息 、 征 信人 信息 ,行踪 轨迹 住宿 信息 \ 健 康生 理 信息 、 交 易 信 息 等 。 个 人 敏感 信息 
是 指 一 旦 泄露 或 被 非法 滥用 ,可 能 危害 人 身 和 财产 安全 ,以 及 导致 个 人 名 誉 、 身心 健康 受 
到 损害 或 琉 视 性 待遇 的 个 人 信息 ,包括 身份 证 件 号 码 . 个 人 生物 识别 信息 .银行 账号 .通信 
记录 和 内 容 、 财 产 信息 、 征 信人 信息, 行 中 轨迹 , 住 答 信 息 、 健 康生 理 信息 、 交 易 信 息 、14 周岁 
( 含 ) 以 下 儿童 的 个 人 信息 等 。 在 《4 信息 安全 技术 公共 及 商用 服务 信息 系统 个 人 信息 保护 
指南 (GB/Z 28828 一 2012) 中 规定 了 个 人 一 般 信息 与 个 人 敏感 信息 的 处 理 原 则 .; 前 者 可 
以 建立 在 默许 同意 的 基础 上 ;后 者 则 建立 在 明示 同意 的 基础 上 ,在 收集 和 利用 的 必须 获得 
个 人 信息 主体 明确 授权 。 

2) 商业 敏感 信息 

商业 信息 的 主要 形式 包括 新 闻 ,市场 调 查 、 信 用 和 财务 信息 .公司 经 营 概 况 ,行业 和 国 
家 经 济 分 析 IT 研究 等 各 方面 内 容 。 

从 广义 的 角度 看 ,商业 信息 是 指 能 够 反映 商业 经 济 活动 情况 ,与 商品 交换 和 管理 有 关 
的 各 种 消息 .数据 .情报 和 资料 的 统称 。 商 业 信 息 的 范畴 不 但 包括 直接 反映 商业 购销 、 市 
场 供求 变化 及 供应 活动 的 信息 ,还 包括 各 种 影响 市 场 供 求 变 化 的 有 关 情 况 的 信息 。 例 如 ， 
日 然 灾 害 、 政 治 事件 等 会 影响 市 场 商 品 可 供 量 的 增 减 、 购 买 力 投向 变化 等 ;又 如 ,OPEC 对 
石油 生产 的 限制 会 导致 石油 价格 变动 ,对 全 球 经 济 产 生 直 接 影响 。 有 关 这 些 方 面 的 情况 
变化 也 可 纳入 商业 信息 的 范围 。 

从 狭义 的 角度 看 ,商业 信息 是 指 直 接 反 映 商 品 严 卖 活动 的 特征 、 变 化 等 情况 的 各 种 消 
息 .数据 .情报 和 资料 的 统称 。 

商业 信息 按 不 同 的 划分 标准 可 以 分 为 奋 干 种 。 按 照 商 业 信 息 性 质 和 内 容 可 以 划分 为 
市 场 营 销 信息 .市 场 管理 信息 ,市场 科 技 信息 和 市 场 环境 信息 。 

(1) 市 场 营 销 信 息 。 它 是 市 场 信息 的 核心 和 主体 ,主要 包括 如 下 信息 : 商品 生产 和 
供应 信息 (商品 生产 能 力 .规模 \ 布 局、 结构、 渠道 ,以 及 购买 力 和 投 癌 变化 ,消费 水 平和 结 
构 变 化 等 ); 商 品 苋 和 争 信 息 ( 同 行业 葛 购 . 葛 销 能 力 及 其 葛 和 争战 略 与 策略 等 )。 市 场 香 销 信 
息 常常 通过 商情 广告 市场 调查 等 形式 反映 出 来 。 

(2) 市 场 管理 信息 。 包 括 国 家 调控 市 场 . 市 场 引 导 企 业 的 宏观 管理 信息 和 企业 内 部 
业务 管理 的 信息 。 前 者 包括 国家 制定 和 颁布 的 经 济 法 规 . 政策 以 及 税收 银行、 物价 等 部 
门 出 人 台 的 有 关 规 定 等 。 后 者 指 的 是 商品 产 供销 计划 ,购销 合同 的 签订 和 履行 ,以 及 业务 、 
财务 会计. 审计 .物价 等 管理 措施 的 有 关 信 息 。 

(3) 市 场 科 技 信 息 。 包 括 新 产品 的 开发 .设计 试制 ,以 及 各 类 产品 加 工 、 包 装 、 仓 储 、 
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运输 检验、 采购、 销售 、 服 务 等 环节 中 所 出 现 的 科学 技术 发 明成 果 和 改革 、 革 新 捍 
信息 。 

(4) 市 场 环 境 信息 。 包 括 影响 市 场 供求 变化 和 稼 销 活动 的 各 种 政治 、 经 济 . 社 会 、 月 
然 环 境 变 化 的 信息 。 政 治 环境 信息 包括 国家 重大 方针 政策 变化 .不 同时 期 党 的 号 召 等 ;经 
济 环境 信息 包括 经 济 政策 变化 、 经 济 体 制 改革 、 经 济 结构 变化 、 经 济 发 展 速度 和 人 民 消 费 
水 平 .消费 结构 变化 等 :社会 环境 信息 包括 城乡 建设 发 展 . 人 口 发 展 与 分 布 、 人 民 文 化 和 教 
育 水 平 , 以 及 风俗 习惯 等 ;月 然 环境 信息 包括 气候 变化 .土地 资源 开发 利用 农作物 生长 态 
势 等 。 以 上 环境 变化 所 产生 的 信息 都 可 作为 市 场 环境 因素 而 对 市 场 彰 销 有 者 重要 价值 。 

在 商业 信息 中 , 企 事业 单位 会 将 其 中 的 某 些 内 容 作 为 商业 敏感 信息 ,不 对 外 公开 ,这 
些 信 息 受 法 律 保 护 。1993 年 12 月 1 日 实施 的 4 中 华人 民 共 和 国 反 不 正当 竞争 法 》 将 商业 
敏感 信息 定义 为 “不 为 公众 所 知悉 .能 为 权利 人 带 来 经 济 利益 .具有 实用 性 并 经 权利 人 和 采 
取保 密 措 施 的 技术 信息 和 经 营 信息 ”。 

技术 信息 主要 是 指 权 利 人 采取 了 保密 措施 加 以 保护 (未 取得 工业 产权 保护 ) ,不 为 公 
众 所 知 晓 , 具 有 经 济 价值 的 技术 知识 ,如 设计 、 程 序 .产品 配方 .制作 工艺 等 。 

经 营 信息 是 指 权 利 人 采取 了 保密 措施 加 以 保护 ,不 为 公众 所 知晓 ,具有 经 济 价 值 的 有 
关 商 业 ,管理 等 方面 的 方法 、 经 验 或 其 他 信息 ,如 企业 的 战略 规划 .管理 方法 .商业 模式 等 。 

3) 国家 秘密 

国家 秘密 是 关系 国家 安全 和 利益 ,依照 法 定 程序 确定 ,在 一 定时 间 内 只 限 一 定 范围 的 
人 员 知 悉 的 事项 。 国 家 秘密 受 法 律 保护 。 一 切 国家 机 关 、 武 装 力量 .政党 .社会 团体 .企业 
事业 单位 和 公民 都 有 保守 国家 秘密 的 义务 。 任 何 危 害 国家 秘密 安全 的 行为 都 必须 受到 法 
律 追 究 .《 中 华人 民 共 和 国保 守 国 家 秘密 法 》 对 有 关 的 问题 作 了 规定 ,下 列 涉 及 国家 安全 
和 利益 的 事项 ,泄露 后 可 能 损害 国家 在 政治 经济、 国防、 外交 等 领域 的 安全 和 利益 的 ,应 
当 确 定 为 国家 秘密 : 

(1) 国家 事务 重大 决策 中 的 秘密 事项 。 

(2) 国防 建设 和 武装 力量 活动 中 的 秘密 事项 。 

(3) 外 交 和 外 事 活动 中 的 秘密 事项 以 及 对 外 承担 保密 义务 的 秘密 事项 。 

(4) 国民 经 济 和 社会 发 展 中 的 秘密 事项 。 

(5) 科学 技术 中 的 秘密 事项 。 

(6) 维护 国家 安全 活动 和 追查 刑事 犯罪 中 的 秘密 事项 。 

(7) 经 国家 保密 行政 管理 部 门 确定 的 其 他 秘密 事项 。 

国家 秘密 的 密级 分 为 绝密 、 机 密 、 秘 密 3 级 。 

(1) 绝密 级 国家 秘密 是 最 重要 的 国家 秘密 ,一 旦 泄露 会 使 国家 安全 和 利益 遭受 特别 
严重 的 损害 。 
(2) 机 密级 国家 秘密 是 重要 的 国家 秘密 ,一 旦 泄露 会 使 国家 安全 和 利益 遭受 严重 的 

(3) 秘 密级 国家 秘密 是 一 般 的 国家 秘密 ,一旦 泄露 会 使 国家 安全 和 利益 遭受 损害 。 

国家 秘密 的 保密 期 限 , 除 另 有 规定 外 ,绝密 级 不 超过 30 年 ,机 密级 不 超过 20 年 ,秘密 

级 不 超过 10 年 。 机 关 .单位 对 承载 国家 秘密 的 纸 介质 、 光 介质 .电磁 介质 等 载体 以 及 属于 
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渤 


BW 终端 安全 管理 ”IE 


国家 秘密 的 设备 .产品 ,应 当做 出 国家 秘密 标志 。 不 属于 国家 秘密 的 ,不 应 当做 出 国家 秘 


密 标 志 。 
2. 敏感 信息 泄露 分 析 


1) 个 人 敏感 信息 泄露 分 析 

在 已 有 的 敏感 信息 泄露 事件 中 ,超过 60% 的 是 个 人 敏感 信息 泄露 事件 ,由 此 滋生 的 
电信 、 网 络 诈骗 等 下 游 违 法 犯罪 行为 已 造成 巨大 社会 损失 ,严重 影响 社会 安定 ,成 为 社会 
公害 。 个 人 敏感 信息 泄露 其 至 还 会 导致 根据 用 户 特征 设计 实施 的 “精准 式 ” 诈 骗 ,威胁 公 
众 的 财产 和 人 号 安全 。2017 年 7 月 ,安全 牛 网 站 发 布 六 国内 外 敏感 信息 泄露 案例 汇总 
分 析 》, 对 2012 年 以 来 公开 报道 的 敏感 信息 泄露 事件 进行 了 统计 分 析 , 如 图 5-7 所 示 。 


商业 秘密 泄露 行业 Top5 个 人 信息 泄露 行业 Top5 


30.00 30.00 

25.00 25.00 

20.00 《 据 潭 露 类 型 20.00 

15.00 数据 法 囊 15.00 

10.00 10.00 

5.00 / j 5.00 
0 


0.00 / i : 
制造 业 互 联网 石化 人 人 力 资源 软件 互联 网 金融 政府 机 构 教 育 ”医疗 


商业 秘密 泄露 方式 z a 个 人 信息 泄露 方式 
300 
\ ps a 个 人 信息 = 商业 秘密 \ 


四 不 马 、 墨 客 等 技术 手段 器 森马、 黑客 等 技术 手段 


四 八 员 泄密 孝 非 扩 林 手段 是 人 员 泄密 等 非 技术 手段 
sa 其 他 其 他 


图 5-7 敏感 信息 泄露 事件 统计 分 析 


个 人 信息 泄露 表现 出 以 下 特 扩 : 

(1) 行业 分 布 广泛 ,互联 网 .金融 成 为 重 灾 区 。 个 人 敏感 信息 泄露 涉及 的 前 5 个 行业 
和 领域 为 互联 网 金融、 政府 机 构 .教育 \ 医 疗 , 这 些 行 业 和 领域 成 为 个 人 敏感 信息 泄露 的 
重 灾区 。 这 些 行业 和 领域 基本 上 痢 大 量 存 储 、 分 析 、 使 用 个 人 信息 ,涉及 人 们 日 第 生活 的 
方方面面 。 通 过 对 个 人 敏感 信息 泄露 的 原因 进行 分 析 可 以 发 现 ,主要 原因 为 对 信息 安全 
的 重视 程度 不 能 适应 信息 技术 的 快速 变 早 和 发 展 。 近 年 来 随 着 科技 的 发 展 , 特 别 是 移动 
互联 网 的 长 足 发 展 , 基 本 上 可 以 使 用 移动 鲁能 终 闪 解 决 所 有 事情 。 在 所 局 了 便利 性 的 同 
时 ,安全 性 却 并 未 得 到 同样 的 提升 ,增加 了 数据 泄露 的 途径 ,降低 了 不 法 分 子 获 取 个 人 繁 
感 信 息 的 难度 ,导致 个 人 敏感 信息 的 非 授 权 使 用 和 泄露 。 

(2) 墨客 人 侵 获 取 效 据 成 为 主要 手段 。 不 法 分 子 获 取信 息 的 手段 可 分 为 技术 手段 
(例如 黑客 人 侵 、 软 件 漏洞 等 ) 和 非 技 术 手 段 ( 例 如 内 部 人 员 泄 密 . 非 有 意识 泄密 等 ) 两 
种 。 通 过 分 析 得 知 , 绝 大 多 数 个 人 敏感 信息 泄露 是 由 于 味 客 人 侵 等 技术 手段 获取 到 的 
数据 ,少量 的 个 人 敏感 信息 泄露 是 由 于 内 部 人 员 主 动 泄露 或 出 售 数 据 等 非 技 术 手 段 寻 
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致 的 。 

2) 商业 秘密 泄露 分 析 

随 着 数据 处 理 技术 的 发 展 , 数 据 的 存储 方式 、 存 储 介 质 和 传输 方式 都 发 生 了 改变 ,使 
得 不 法 人 员 先 取 商业 秘密 的 途径 变 得 更 加 隐蔽 。 在 涉及 商业 秘密 泄露 的 案件 中 ,大 量 的 
证 据 都 是 以 电子 文档 的 形式 存在 的 ,而 且 这 些 证 据 通常 是 在 随身 携带 的 设备 中 存放 的 。 
对 商业 秘密 泄露 涉及 的 行业 类 型 .泄露 手段 等 内 容 进 行进 一 步 的 深入 分 析 后 发 现 ,商业 秘 
密 泄 露 表 现 出 以 下 特点 ， 

(1) 行业 分 布 广泛 ,制造 业 、 互 联网 商业 秘密 泄露 情况 较 多 。 商 业 秘密 泄露 涉及 的 前 
5 个 行业 为 制造 业 、 互 联网 .化 工人 力 资 源 、 软 件 公 司 , 占 全 部 商业 秘密 泄露 的 近 八 成 。 
商业 秘密 的 泄露 主要 集中 在 有 一 定 技术 壁垒 或 需要 创新 的 行业 。 不 法 分 子 或 竞争 对 手 通 
过 雇用 商业 间谍 或 黑客 等 手段 , 妆 取 产品 设计 .产品 配方 .制作 工艺 .企业 战略 规划 等 商业 
秘密 。 

(2) 内 部 员工 或 离职 员工 泄密 成 为 商业 秘密 的 主要 泄露 手段 。 与 个 人 敏感 信息 泄露 
相 比 ,商业 秘密 的 泄露 手段 主要 为 非 技 术 手 段 ,主要 通过 收买 内 部 员工 或 离职 员工 来 
实现 。 

为 应 对 企业 核心 数据 面临 的 内 部 、 外 部 威胁 ,国内 外 安全 产品 厂商 均 推出 了 以 敏感 数 
据 保 护 为 主要 目的 的 信息 安全 产品 (例如 数据 防 泄露 产品 ), 由 于 安全 法 规 、 拉 术 痛 景 使 
用 习惯 ,保护 力度 的 不 同 ,国内 外 数据 防 泄露 产品 采用 了 截然 不 同 的 技术 路 线 ; 基于 内 容 
分 析 的 DLP 产品 或 者 基于 文件 加 密 的 DLP 产品 ,将 在 后 面 介 绍 。 


3. 敏感 信息 保护 方式 的 研究 成 果 

2018 年 7 月 ,IBM 公司 联合 Ponemon 研究 院 发 布 报告 42018 年 数据 泄露 成 本 研究 : 
全 球 分 析 》, 对 美国 欧洲、 亚太. 中东 南非 等 13 个 国家 和 地 区 的 419 家 发 生 过 数据 泄露 
事件 的 企业 进行 调研 ,并 从 经 济 影 响 的 角度 给 出 了 企业 为 防范 泄露 和 减轻 不 良 后 果 的 资 

如 图 5-8 所 示 ,该 报告 列 出 了 数据 泄露 时 对 每 条 记录 平均 成 本 有 影响 的 20 个 因素 。 
该 报告 明确 指出 : 企业 采取 一 些 安全 措施 是 可 以 降低 数据 泄露 成 本 的 ,例如 ,事件 啊 应 团 
队 .广泛 应 用 加 密 、 员 工 培训 、 参 与 威胁 共享 体系 或 业务 持续 性 省 理 , 这 些 措 施 均 有 助 于 降 
低 数据 泄露 时 每 条 记录 平均 成 本 。 而 第 三 方 参与 、 大 规模 云 了 迁移、 设备 丢失 /被 次 等 行为 
所 引发 的 数据 泄露 均 会 增加 数据 泄露 时 每 条 记录 平均 成 本 。 

2015 年 7 月 ,Forrester 公司 在 名 为 (数据 安全 和 隐私 》 的 报告 中 展示 了 数据 安全 与 控 
制 框 架 , 以 帮助 用 户 建立 以 数据 为 中 心 的 安全 架构 ,如 图 5-9 所 示 。 

该 框架 包括 以 下 3 个 部 分 : 

(1) 明确 。 包 括 数据 发 现 和 数据 分 类 。 用 户 需 要 首先 明确 什么 是 敏感 信息 ,并 确定 
这 些 信 息 分 布 的 位 置 。 

(2) 训 析 。 包 括 数据 智能 和 数据 分 析 。 数 据 智 能 是 指 从 数据 中 提取 关于 该 数据 的 特 
征 信 息 ,然后 利用 这 些 信 息 去 保护 数据 ;数据 分 析 指 对 数据 进行 实时 分 析 以 主动 防御 
危险 。 
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Figure 12. Impact of 22 factors on the per capita cost of data breach 
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图 5-8 2017 年 数据 泄露 成 本 统计 


数据 发 现 数据 分 类 


数据 智能 | 数据 分 析 


访问 控制 检测 处 轩 加 密 
图 5-9 ”Forrester 数据 安全 与 控制 框架 


(3) 保护 。 对 数据 可 以 采取 4 个 方面 的 保护 ,分别 是 访问 控制 .检测 (检查 数据 使 用 
模式 )、 处置 (处 理 无 用 数据 ) 和 加 密 数 据 。 

Gartner 是 业内 著名 的 信息 技术 人 研究 和 分 析 公 司 。 它 在 2017 年 1 月 发 布 T《 建 立成 
功 的 DLP 战略 》 报 告 ,为 企业 成 功 实施 DLP(Data Leakage Protection ,数据 泄露 防护 ) 提 
出 了 上 有 具体 的 建议 。DLP 是 通过 一 定 的 技术 手段 防止 企业 的 指定 数据 或 信息 资产 以 违反 
安全 策略 规定 的 形式 流出 企业 的 策略 。DLP 产品 是 目前 国际 上 主流 的 信息 安全 和 数据 
防护 手段 。 无 论 是 在 信息 系统 中 部 署 独立 的 企业 DLP 产品 还 是 在 防火 墙 / 网 关 等 系统 中 
集成 DLP 模块 ,都 应 该 休 循 如 下 5 个 步 又， 

(1) 明确 敏感 信息 的 类 型 和 位 置 。 负 责 应 用 和 数据 安全 的 管理 人 员 应 当 与 数据 使 用 
人 员 共 同 进行 敏感 数据 的 定义 ,以 确保 覆盖 所 有 的 敏感 信息 ,同时 满足 内 容 检 测 机 制 的 
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企业 用 户 应 该 预 完 定义 敏感 信息 类 型 ,了 解 其 存储 位 置 ,使 得 企业 在 选择 DLP 三 商 
时 能 日 主 判 断 产 品 所 实现 的 内 容 检 测 机 制 是 否 能 满足 企业 敏感 信息 识别 的 要 求 , 确 保 依 

(2) 明确 敏感 信息 数据 流 回 。 一 旦 用 户 定 义 了 敏感 数据 类 型 ,并 有 旦 对 敏感 数据 的 合 
理 位 置 进行 了 确认 , 束 可 以 开始 定义 预期 的 数据 流 以 及 对 数据 流 违反 预期 的 应 对 措施 。 

(3) 制定 DLP 沫 略 。 如 采 不 能 对 敏感 数据 检测 事件 作出 和 运 当 啊 应 , 驶 不 能 体现 DLP 
系统 的 价值 。 因 为 DLP 系统 主要 的 价值 就 是 改变 用 户 行为 ,除了 拉 术 手段 ,还 需要 通过 
业务 流程 或 企业 文化 方面 的 措施 来 改变 用 户 行为 。 

最 成 功 的 DLP 部 普 应 从 特定 的 用 户 和 系统 开始 ,在 监控 模式 下 ,开始 时 仅仅 对 一 些 
明显 错误 的 活动 设置 阻止 或 老 报 ,通过 不 断 地 深入 、 迭 代 , 优 化 ,最 终 产 生 一 套 适用 于 正常 
业务 流程 的 策略 。 

(4) 明确 工作 流 及 事件 处 理 方 式 。 从 本 质 上 看 ,DLP 通过 监控 不 安全 的 业务 流程 及 
有 风险 的 数据 操作 来 保障 数据 安全 。 因 此 ,建立 工作 流 来 管理 和 处 理事 件 是 成 功 的 关键 。 

工作 流 可 以 确保 事件 处 理 的 完整 性 ,但 在 事件 处 理 过 程 中 可 能 会 涉及 和 警报 信息 中 存 
在 的 敏感 数据 二 次 泄露 问题 。 安 全 风险 管理 者 或 领导 者 必须 决定 谁 有 权限 查看 警报 信息 
的 实际 内 容 , 并 通过 授权 模块 委派 给 特定 人 员 处 理 。 

(5) 与 其 他 安全 产品 联动 。DLP 产品 具有 其 他 信息 安全 产品 不 具备 的 内 容 识别 技 
术 , 可 与 安全 信息 与 事件 管理 (Security Information and Event Management,SIEM) .用 
户 和 实体 行为 分 析 (User and Entity Behavior Analytics, UEBA)、 云 访问 安全 代理 
(Cloud Access Security Broker,CASB) 等 产品 进行 联动 ,以 更 精确 地 识别 风险 点 。 


4. 敏感 信息 保护 技术 分 析 

1) 内 容 分 析 DLP 产品 

内 容 分 析 DLP 产品 源 目 国外 ,以 统一 策略 为 基础 ,及 用 这 层 内 容 分 析 , 对 静态 数据 、 
动态 数据 及 使 用 中 的 数据 进行 即时 识别 .监控 和 保护 。 

内 容 分 析 DLP 产品 的 核心 在 于 内 容 分 析 引 擎 , 通 币 文 持 从 粗略 到 精准 的 系列 分 析 算 
法 ,如 关键 字 / 字 典 .正则 表达 式 指纹 等 。 用 户 结 合 上 自己 的 业务 数据 特点 定制 内 容 分 析 策 
略 , 从 而 使 DLP 系统 能 够 判断 当前 数据 内 容 是 否 为 敏感 信息 ,并 进而 执行 预先 定义 的 审 
计 、 和 警告 . 阻 断 等 保护 动作 。 

DLP 系统 文 持 数据 生命 周期 内 3 个 主要 环节 的 安全 : 

(1) 存储 。 主 要 指 存储 在 终端 .文件 服务 器 .数据库 服务 器 等 节点 上 的 文件 ,通过 和 定 
时 或 周期 性 扫描 ,对 全 部 文件 或 新 增 文 件 内 容 进 行 分 析 和 识别 ,完成 标记 、 复 制 、 移 动 等 保 

(2) 传输 。 主 要 指 当 前 正在 传输 中 的 数据 ,包括 通过 网 络 .邮件 .蓝牙 .USB 等 形式 
传输 的 数据 。DLP 系统 解析 相应 的 传输 协议 ,还 原 数据 内 容 , 并 进行 敏感 性 分 析 ,根据 策 
上 略 做 出 审计 、 老 告 、 阻 断 等 保护 动作 。 

(3) 应 用 。 主 要 指 当 前 正在 被 各 种 应 用 访问 的 数据 ,如 Office 程序 、 即 时 通信 程序 、 
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打印 程序 .光盘 刻录 程序 等 。DLP 系统 需要 对 应 用 程序 复制 .粘贴 .发送 等 行为 涉及 的 数 
据 内 容 进行 监控 ,识别 其 中 是 否 包含 敏感 信息 ,并 采取 和 警告. 阻 断 等 保护 动作 。 

2) 文件 加 密 DLP 产品 

文件 加 密 DLP 产品 主要 由 国内 安全 厂商 提供 ,通过 加 密 技 术 实 现 对 重要 数据 文件 的 
保护 。 

加 密 技术 是 业内 公认 的 最 安全 的 数据 保护 手段 。 文 件 被 加 密 后 ,只 能 在 安装 了 解密 
软件 的 设备 上 通过 和 号 份 认 证 ,权限 判定 等 过 程 访问 文件 内 容 ,因此 ,加 密 搁 术 可 以 有 效 防 
止 存储 介质 丢失 木马 /黑客 甸 取 、 内 外 勾结 等 造成 的 泄密 。 但 加 密 技 术 也 会 市 来 显著 的 
问题 : 

(1) 易 用 性 。 核 心 问 题 在 于 加 解密 的 实现 方式 。 文 件 加 密 系 统 不 应 改变 用 户 正 第 的 
文件 操作 习惯 ,否则 将 容易 导致 用 户 使 用 体验 差 ,影响 系统 的 使 用 。 

(2) 性 能 。 文 件 加 解密 的 实现 过 程 必然 会 影响 系统 性 能 。 在 考虑 安全 性 的 同时 ,应 
确保 不 会 显著 降低 终端 的 系统 性 能 。 

(3) 稳定 性 。 加 密 过 程 会 实际 改变 文件 内 容 , 必 须 确保 解密 
则 会 导致 比 泄密 更 严重 的 数据 安全 事件 。 

为 有 效 解 决 以 上 问题 ,文件 加 密 DLP 产品 采用 文件 夹 加 密 、 人 磁盘 加 密 、 应 用 层 加 和 密 、 
驱动 层 加 密 等 多 种 技术 方法 。 完 整 的 数据 加 蜜 产品 必须 基于 PKI 安全 体系 ,实现 数字 证 
书 、 身 份 认证 .加密 算 法 、 密 钥 等 管理 功能 ,国家 对 采用 密码 技术 实现 数据 安全 的 产品 有 严 
格 的 资质 认证 要 求 。 

上 述 两 种 DLP 产品 的 简要 对 比如 表 5-4 所 示 。 

表 5-4 两 种 DLP 产品 


对 比 项 文件 加 密 DLP 产品 内 容 分 析 DLP 产品 
安全 性 饥 。 能 有 效 防 止 被 动 及 主动 泄密 一 般 。 存 在 多 种 逃逸 手段 
稳定 性 中 。 极 端 情况 下 会 导致 文件 损坏 稳定 。 不 改变 文件 内 容 
多 用 性 较 差 。 过 度 加 密 易 引起 用 户 抵 制 易 用 。 用 户 基 本 无 感知 
兼容 性 一 般 。 容 易 与 其 他 系统 存在 兼容 性 | 高 。 支 持 Windows、Linux、MacOS 和 
问题 ,通常 只 支持 Windows 平台 移动 平台 
资源 要 求 中 。 与 算法 和 密 钥 长 度 有 关 较 低 。 与 内 容 分 析 策 略 复杂 度 有 关 
技术 实现 复杂 度 “| 高 。 涉 及 Windows 内 核 开发 高 。 内 容 分 析 引 擎 实现 难度 大 


3) 下 一 代 DLP 产品 思路 

通过 对 敏感 信息 保护 相关 案例 的 全 究 ,参考 国内 外 专业 机 构 的 信息 安全 模型 ,在 分 析 
现 有 DLP 产品 功能 优 缺 点 的 基础 上 ,可 以 勾勒 出 下 一 代 DLP 产品 的 3 个 典型 特征 。 

(1) 数据 分 类 是 安全 保护 前 提 。 数 据 分 类 (data classification) 是 指 通过 预先 确定 的 
标准 和 规则 对 数据 进行 持续 性 的 分 类 过 程 ,以 实现 对 数据 更 有 成 效 和 更 高 效率 的 保护 。 

市 场 调研 机 构 IDC 预计 ,全 球 数据 总 量 年 增长 率 将 维持 在 50% 左 右 ,到 2020 年 ,全 
球 数据 总 量 将 有 望 达到 40ZB。 企 业 的 各 类 信息 系统 在 日 常 运行 过 程 中 产生 了 大 量 的 数 
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据 ,企业 必须 采取 新 的 方法 来 保护 数据 。 

通过 数据 分 类 ,使 企业 能 够 实现 以 下 两 点 : 

避免 采取 一 刀 切 的 数据 处 理 方式 。 

避免 随意 选择 需要 保护 的 数据 而 消耗 了 宝 贯 的 安全 资源 。 

数据 分 类 的 实现 方式 包括 以 下 3 个 : 

基于 内 容 分 类 。 检 查 文件 内 容 , 确 认 是 否 包 含 特定 的 敏感 信息 , 篆 见 的 方式 包括 
关键 字 .字符 串 .文件 指纹 等 。 

基于 文件 上 下 文 分 类 。 检 查访 问 该 文件 的 进程 名 称 、 路 径 、 文 件 属性 等 是 否 符 合 
特定 的 分 类 标准 。 

G) 基于 用 户 分 类 。 由 授权 用 户 通 过 手动 方式 设置 文件 类 别 。 

(2) DLP 技术 是 核心 手段 。DLP 需要 根据 预先 定义 的 策略 实时 扫描 存储 和 传输 中 
的 数据 ,评估 数据 是 否 违反 预先 定义 的 策略 ,并 自动 采取 和 警告 .隔离 .加 密 甚至 阻 断 等 保护 

根据 数据 保护 对 象 的 不 同 ,DLP 系统 可 以 细 分 为 多 个 模块 ,如 图 5-10 所 示 。 


内 部 威胁 7 


外 部 威胁 


个 人 敏感 信息 


注 合 规 一 
合 规 性 


关注 数据 
保护 的 位 置 


图 5-10 DLP 系统 的 模块 


以 下 是 DLP 系统 的 几 个 重要 和 模块: 

终 珊 DLP。 通 过 部 并 在 终 问 的 客户 瘦 程 序 实现 保护 功能 , 文 持 的 终 问 类 型 包括 运 
行 Windows、Linux 或 Mac OS 的 任何 笔记 本 电脑 、 人 台式 机 .服务 硕 等 。 所 有 需要 实现 数 
据 保护 功能 的 终 靖 都 应 该 部 署 相 应 的 客户 庙 程序 。 

网 络 DLP。 对 网 络 流量 进行 可 视 化 管理 及 控制 ,可 基于 物理 设备 或 虚拟 设备 对 邮 
件 、Web 访问 .即时 通信 等 各 种 流量 进行 检测 , 文 持 在 线 .和 劳 路 等 多 种 部 萌 模 式 。 

(3) 数据 发 现 。 对 网 络 中 的 服务 副 、 终 融 、 数 据 库 、 共 至 文件 夹 等 主动 进行 扫描 ,检查 
其 中 是 否 存 在 敏感 信息 。 为 实现 该 功能 ,有 时 需要 在 目标 系统 中 部 浓 代 理 程序 ,以 便 实现 
扫 拉 功能。 

由 云 DLP。 类 似 于 数据 发 现 ,对 云端 存储 的 数据 进行 扫描 。 云 DLP 通 第 依赖 API 
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连接 云端 存储 服务 (例如 Box、One-Drive 等 ) ,对 上 传 到 云端 的 数据 进行 审计 和 保护 。 

(3) 文件 日 动 加 密 是 必 备 的 增强 方式 。 在 传统 DLP 产品 中 虽然 也 采用 了 加 密 技术 ， 
但 主要 是 在 传输 、 存 储 等 场景 下 为 防止 被 动 泄密 而 采取 的 保护 手段 ,例如 ,对 邮件 附件 中 
的 敏感 信息 加 密 以 防止 网 络 窗 密 ,对 存储 在 USB 设备 中 的 文件 加 密 以 防止 存储 介质 丢失 
导致 泄密 ,等 等 。 

通过 对 大 量 敏感 信息 泄露 事件 的 汇总 分 析 发 现 , 因 为 存在 多 种 简单 匈 行 的 逃逸 手段 ， 
内 部 员工 主动 泄密 是 商业 秘密 泄露 的 主要 方式 。 因 此 , 仅 依 顿 DLP 技术 并 不 能 有 效 阻止 
主动 泄密 事件 的 发 生 。 基 于 文件 的 自动 加 密 技术 能 够 在 不 改变 用 户 使 用 习惯 的 前 提 下 实 
现 对 文件 的 自动 强制 加 解密 ,但 是 仅 使 用 该 技术 会 导致 过 度 加 密 问 题 。 将 文件 加 密 技 术 
与 DLP 内 容 识 别 技 术 相 结合, 仅 对 包含 敏感 信息 的 文件 目 动 加 密 , 可 以 有 效 增 强 DLP 产 
品 的 保护 力度 。 


5.7 亚 意 软件 防 沱 管理 


5.7.1 恶意 代码 检测 


对 于 恶意 代码 可 以 采用 多 种 方法 进行 识别 ,常用 的 技术 包括 基于 签名 的 检测 技术 、 启 
发 式 检测 技术 .权限 检测 技术 .完整 性 检测 技术 .行为 检测 技术 以 及 基于 云 平台 的 检测 
技术 . 

基于 签名 的 检测 技术 是 传统 防 病毒 软件 采取 的 主要 工作 方式 ,通过 分 析 恶 意 程序 特 
征 ,并 对 特征 进行 签名 ,从 而 实现 对 恶意 代码 的 检测 。 传 统 防 病毒 软件 通过 对 终端 的 文件 
系统 .内存 运行 等 方面 的 内 容 进 行 特征 值 签名 比 对 ,判断 终端 是 否 被 恶意 代码 攻击 。 其 优 
点 是 检测 速度 快 , 误 报 率 低 ,可 以 有 效 地 控制 恶意 软件 的 感染 和 爆发 。 但 恶意 代码 编写 者 
可 以 通过 代码 混淆 .加密 、 多 态 等 方式 对 恶意 代码 自身 或 其 他 辅助 代码 部 分 进行 加 密 , 使 
得 恶意 代码 的 特征 值 签名 发 生变 化 , 绕 过 防 病毒 软件 的 病毒 特征 值 签名 检测 。 另 外 ,这 种 
检测 方式 对 于 未 知 病毒 无 能 为 力 。 随 着 恶意 代码 数量 的 增长 ,病毒 特征 库 的 规模 也 会 越 
来 越 庞 大 , 带 来 的 资源 占用 和 性 能 下 降 问 题 也 不 容 忽 视 。 

启发 式 检测 技术 通过 将 病毒 特征 的 通用 签名 与 现 有 签名 进行 模糊 匹配 来 检测 病毒 。 
这 种 方式 对 于 防御 病毒 家 族 有 较 好 的 效果 。 随 着 人 工 智 能 算法 的 加 入 ,启发 式 检测 技术 
将 广泛 应 用 和 迅速 发 展 ,目前 主流 的 防 病毒 软件 均 包含 这 种 检测 技术 。 

权限 检测 技术 是 针对 恶意 代码 实现 其 攻击 目的 的 先决 条 件 ( 具 有 足够 的 权限 ) 产 生 的 
检测 方法 。 该 方法 通过 控制 恶意 代码 在 被 入 侵 系 统 中 的 权限 ,使 得 恶意 代码 仅 获得 最 小 
权限 或 没有 相应 权限 ,能够 有 效 抵御 滥用 权限 的 恶意 代码 。 例 如 ,利用 Rootkit 获取 终端 
管理 权限 的 恶意 代码 可 以 改变 终端 系统 的 运行 方式 ,甚至 可 以 终止 防 病毒 程序 。 而 
Rootkit 类 型 的 病毒 一 旦 发 作 , 通 常 难以 删除 ,甚至 需要 重新 安装 操作 系统 才 可 以 解决 。 
利用 权限 检测 技术 可 以 遏制 恶意 代码 的 Rootkit 操作 ,实现 对 系统 的 安全 防护 。 

完整 性 检测 技术 是 在 恶意 代码 感染 .破坏 目标 的 过 程 中 检测 目标 的 完整 性 ,判断 恶意 
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代码 的 方法 。 此 检测 方式 通过 确保 系统 资源 特别 是 系统 中 重要 资源 的 完整 性 不 受 破 坏 来 
阻止 恶意 代码 对 系统 质 源 的 感染 和 和 破坏。 文件 校 验 和 法 是 完整 性 检测 技术 对 信息 人 殴 源 实 
现 完整 性 保护 的 一 种 应 用 , 它 首 和 完 计 算 并 保存 正 第 文件 内 容 的 校 验 和 ,然后 定期 地 或 在 文 
件 使 用 前 检查 文件 内 容 校 验 和 与 保存 的 校 验 和 是 否 一 怪 , 以 验证 文件 是 否 被 感染 。 这 种 
方法 能 够 有 效 地 检测 出 已 知 和 未 知 恶 意 代 但 对 文件 的 修改 。 但 是 ,由 于 恶意 代码 感染 并 
韭 系 统 文件 改变 的 唯一 原因 ,软件 版 本 升级 、 变 更 口令 等 正常 操作 也 会 引起 系统 文件 更 
改 , 因 而 这 种 方法 容易 产生 误 报 ,而 且 运 算 量 比 较 大 ,会 影响 系统 文件 的 运行 速度 。 

行为 检测 技术 是 利用 恶意 代 公 的 特有 行为 特征 来 检测 全 意 代 公 的 方法 。 通 过 对 注意 
代码 的 观察 、 人 研究 ,归纳 恶意 代码 的 共同 行为 ,将 这 些 罕 见 而 特殊 的 共同 行为 定义 为 恶意 
代码 的 特征 行为 。 当 程序 运行 时 ,监视 其 后 续 的 行为 ,如 采 发 生 了 与 恶意 代 人 码 特 征 行为 
相同 的 动作 , 则 立即 告警 。 这 种 方法 可 以 比较 准确 地 发 现 未 知 的 病毒 ,但 不 能 识别 病 
毒 名 称 , 而 且 在 实现 上 也 有 一 定 的 技术 难度 ,因此 它 凋 作为 基于 签名 的 检测 技术 的 重 
要 补充 。 

本 地 的 全 意 代 公 样 本 库 通 常 难 以 满足 终 病 中 出 现 的 大 量 未 知 样本 的 检测 需求 。 基 于 
云 平 全 的 检测 技术 采用 基于 大 数据 的 云 平台 检测 技术 , 带 助 企 业内 部 信息 安全 人 员 快 速 
实现 大 量 未 知 样本 文件 的 鉴定 ,以 保障 企业 内 部 终端 安全 。 利 用 云 平台 的 大 数据 可 以 玫 
助 企业 迅速 定位 威胁 级 别 较 融 的 恶意 样本 在 企业 内 部 的 终 刀 分布, 有效 带 助 信 息 安 全 人 
员 定 位 存在 威胁 的 终 交 ,并 迅速 作出 啊 应 处 理 。 这 种 检测 方式 可 以 通过 私有 云 或 者 公有 
云 的 方式 进行 ,两 种 方式 的 检测 模式 在 本 质 上 没有 区 别 , 只 是 云 平 侣 的 部 著 位 置 有 区 别 。 
私有 云 平 台 通 币 部 团 在 组 织 机 构 内 部 信息 系统 中 ,使 用 内 部 网 络 地 址 ;而 公有 云 平 台 通 篆 
由 信息 安全 服务 提供 商 提供 公 网 地 址 。 终 闪 安 全 管理 平台 只 需 连 接 其 中 一 种 云 平台 , 即 
可 完成 未 知 样 本 的 上 传 鉴定 以 及 恶意 代码 样本 库 的 更 新 。 这 种 方式 大 大 绚 短 了 特征 人 码 更 
新 闻 期 ,并 降低 了 客户 问 对 本 地 设备 的 资源 消耗 。 但 这 种 技术 对 网 络 的 依赖 程度 较 高 ,一 
日 网 络 中 断 ,客户 疹 的 检测 能 力 会 受到 影响 。 


5.7.2 恶意 软件 防 沱 原 则 
本 节 介 绍 恶意 软件 防范 的 5 个 原则 。 


1. 增强 安全 意识 

终 病 用户 应 建立 相应 的 安全 意识 ,主要 包括 : 应 及 时 安 疲 安全 防护 软件 ;不 茜 用 防 病 
毒 软 件 .恶意 软件 检测 和 清 队 工具、 终 刀 防护 软件 等 安全 控制 机 制 和 软件 ;不 要 打开 未 知 
来 源 的 可 疑 电 了 于 邮件 及 其 附件 ;不 要 点 击 可 疑 的 网 站 弹出 衡 口 和 页 面 ;不 要 访问 可 能 包含 
恶意 内 容 的 网 站 ;不 要 从 不 可 信和 软件 来 源 下载 和 执行 应 用 程序 。 


2. 加 强 安全 策 了 略 
安全 生 略 是 一 个 综合 的 规则 集合 ,其 中 包含 的 内 容 与 本 书 中 内 容 的 方方面面 都 有 关 
联 , 例 如 , 茶 止 使 用 弱 口 令 ,限制 移动 存储 介质 的 使 用 ,对 外 部 的 移动 存储 介质 应 进行 安全 
扫描 ,限制 管理 员 权 限 的 使 用 ,只 访问 经 过 组 织 批准 的 并 受到 安全 机 制 保护 的 网 络 , 限 制 
不 必要 的 程序 运行 ,等 等 。 
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3. 选择 安全 的 软件 下 载 渠 赴 

软件 下 载 奉 道 已 成 为 攻击 者 利用 的 重要 途径 。 企 业 IT 管理 人 员 需 要 为 员工 构建 安 
全 可 徘 的 软件 下 载 平 台 。 所 谓 术 业 有 专攻 ,企业 IT 管理 人 员 应 更 多 地 关注 业务 安全 ,对 
于 软件 基础 设施 安全 ,应 该 区 给 更 为 专业 的 安全 厂商, 由 安全 厂商 对 应 用 .工具 类 软件 进 
行 安全 把 关 , 建 立 一 个 软件 足够 丰富 的 软件 生态 圈 和 下 载 平台 ,使 之 窗 兹 大 多 数 企 事业 用 
户 的 个 性 化 要 求 。 


4. 把 探 软件 升级 通 追 

在 日 益 严 重 的 软件 供应 链 安 全 事件 中 ,利用 软件 更 新 发 起 攻击 已 经 成 为 最 突出 的 问 
题 , 这 也 说 明 软 件 提 供 商 对 于 更 新 设施 的 防护 指 施 不 够 到 位 。 这 要 求 企业 I 管理 人 员 
封 墙 软件 更 新 的 网 络 通 道 , 并 且 部 普 安 全 设备 进行 有 效 的 管控 。 软 件 更 新 管理 已 经 成 为 
软件 供应 链 安 全 的 重要 环 太 。 


5. 风险 消减 
为 降低 亚 意 代码 给 终端 市 来 的 安全 风险 ,应 使 用 包括 防 病毒 软件 、 晋 意 代 人 码 检测 和 清 


除 工具 IDSVIPS 防火墙 以 及 各 种 针对 特定 恶意 代码 的 防护 技术 。 防 病毒 软件 是 减轻 亚 
意 代 但 威胁 最 常用 的 技术 控制 措施 。 亚 意 代 码 检 测 和 清除 工具 主要 用 于 应 对 偶发 的 、 焊 
发 性 的 特定 剑 意 代 人 码 。 例 如 ,“ 水 恒 之 蓝 ” 勒 罕 炳 毒 专 用 查 杀 工具 就 属于 此 类 工具 。 


对 各 类 应 用 .服务 进行 安全 加 固 ,同样 可 以 有 效 地 消减 应 用 .服务 相关 漏洞 市 来 的 安 
全 风险 。 对 终 闯 系统 中 运行 的 进程 .系统 人 唤 源 (例如 CPU 内存、 网 络 流量 .关键 文件 系 
统 . 外 部 设备 等 ) 进 行 持 续 监控 ,及 时 了 解 系统 运行 和 资源 占用 情况 ,以 便 执行 终端 系统 被 
感染 后 的 啊 应 措施、 应 急 预 案 。 


5.8 备份 与 恢复 管理 


5.8.1 数据 备份 方法 


数据 备份 共 分 为 3 种 方法 。 下 面 以 某 业 务 系统 中 一 周 的 数据 变化 为 例 来 说 明 这 3 种 
备份 方式 。 

(1) 完全 备份 (full backup)。 有 上 所谓 完 全 备份 就 是 对 整个 系统 进行 完全 备份 ,包括 系 
统 、 应 用 和 数据 。 当 发 生 数 据 丢 失 的 灾难 时 ,利用 备份 数据 就 可 以 恢复 丢失 的 数据 。 它 的 
不 足 之 处 是 : 由 于 每 天 都 对 系统 进行 完全 备份 ,因此 在 备份 数据 中 有 大 量 重 复数 据 ,这些 
元 余 的 数据 占用 了 大 量 的 存储 资源 ,增加 了 运行 成 本 。 同 时 ,由 于 需要 备份 的 数据 量 巨 
大 ,因此 备份 所 需 时 间 较 长 ,对 于 业务 蒙 忙 、 备 份 窗 口 时 间 有 限 的 组 织 , 这 种 备份 策略 的 使 
用 空间 有 限 。 完 全 备份 工作 方式 如 图 5-11 所 示 。 

(2) 增 量 备份 (incremental backup)。 采 用 增 量 备份 方法 时 ,每 次 备份 的 数据 是 上 一 
次 备份 后 增加 的 和 修改 过 的 数据 。 这 种 备份 方法 由 于 没有 重复 的 备份 数据 ,因此 区 省 存 
储 资 源 ,能 减少 备份 时 间 。 但 它 的 缺点 在 于 恢复 数据 的 过 程 比较 复杂 ,恢复 数据 时 需要 将 
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有 当日 新 增 、 
上 一 次 完 浙 增 、 
a 修改 数据 量 
备份 数据 量 | ( 右 侧 各 段 与 此 含义 ) 


完全 备份 数据 星期 一 星期 四 | 星期 五 | 星期 六 “| 星期 日 


图 5-11 完全 备份 工作 方式 


一 次 完全 备份 的 数据 以 及 各 个 增 量 备份 数据 按照 备份 时 间 顺 厅 逐 一 恢复 ,才能 将 数据 
恢复 完整 。 一 旦 增 量 备份 数据 链条 中 的 茶 一 个 环节 出 现 问 题 , 后 续 备 份 数 据 恢 复 就 会 出 
现 问 题 。 增 量 备 份 工作 方式 如 图 5-12 所 示 。 

当日 新 增 、 


-次 完全 | 修改 数据 量 
诗 份 数据 ( 右 侧 各 段 与 此 含义 ) 


图 5-12 增 量 备份 工作 方式 


(3) 差异 备份 (differential backup)。 采 用 差异 备份 方法 时 ,每 次 备份 的 数据 是 相对 
于 上 一 次 完全 备份 之 后 新 增加 的 和 修改 过 的 数据 。 这 种 备份 方式 结合 了 完全 备份 和 增 量 
备份 的 优点 ,每 次 备份 的 内 容 都 是 与 上 一 次 完全 备份 的 数据 差异 。 恢 复数 据 时 ,只 和 需 恢 复 
上 一 次 完全 备份 的 数据 和 最 后 一 次 差异 备份 的 数据 即 可 。 差 异 备 份 工 作 方 式 如 


LF 


四 ”终端 安全 管理 


图 $= 13 甩 示 。 


当日 新 增 、 
上 一 次 完全 修改 数据 量 


备份 数据 量 ”| ( 右 侧 各 段 与 此 含义 ) 


图 5-13 差异 备份 工作 方式 


这 3 种 备份 方法 都 采用 了 定时 备份 方式 。 按 照 指定 的 时 间 ,周期 性 地 对 指定 的 系统 、 
应 用 .数据 进行 备份 。 在 这 种 方式 下 ,如 果 需 要 恢复 备份 数据 , 则 本 轮 备 份 周 期 中 尚未 备 
份 的 数据 会 丢失 。 例 如 , 某 组 织 定 义 备 份 的 周期 为 一 周 , 每 周 日 进行 一 次 全 备份 ,其 余 6 
天 每 天 进行 一 次 差异 备份 。 如 果 周 六 出 现 信息 安全 事故 ,需要 进行 数据 恢复 , 则 数据 可 以 
恢复 至 周 五 的 数据 ,但 周 六 产生 的 数据 就 丢失 了 。 

为 了 解决 定时 备份 机 制导 致 的 数据 丢失 问题 ,1989 年 ,皮特 马尔 科 姆 提出 了 实时 备 
份 技 术 , 又 称 连续 数据 保护 (Continuous Data Protection ,CDP) , 当 数 据 写 人 磁盘 时 ,同时 
会 异步 写 人 备份 磁盘 。RAID .镜像 等 数据 保护 技术 仅 保 护 数 据 的 副本 ,如 果 数 据 发 生 损 
坏 而 没有 及 时 检测 出 来 ,那么 备份 的 数据 中 也 包含 损坏 的 数据 ;而 CDP 通过 允许 恢复 先 
前 未 损坏 的 数据 版 本 来 防止 数据 损坏 产生 的 影响 ,但 是 在 数据 发 生 损坏 时 和 恢复 数据 时 
之 间 的 数据 记录 会 丢失 ,需要 使 用 数据 日 记 等 方式 恢复 相关 数据 。 传 统 备份 技术 只 能 恢 
复 预 先 定 义 的 时 间 点 的 数据 ;而 CDP 可 以 恢复 任意 时 间 点 的 数据 ,更 加 灵活 。 连 续 数 据 
保护 因为 无 须 指 定 恢复 的 时 间 点 ,因此 ,连续 数据 保护 没有 备份 计划 。 

CDP 技术 分 为 真 CDP(True CDP,TCDP) 技 术 和 准 CDP(Near CDP,NCDP) 技 术 两 
类 。CDP 的 分 类 是 相对 于 数据 保护 时 间 点 而 言 的 。 准 CDP 技术 是 按照 一 定 的 时 间 周 期 
持续 地 记录 并 备份 数据 变化 ,由 于 备份 有 时 间 窗 口 ( 即 每 隔 一 段 时 间 备 份 一 次 ,目前 备份 
周期 已 缩小 到 秒 级 ) ,不 能 形成 完全 意义 上 的 持续 保护 ,因此 称 其 为 准 CDP 技术 。 而 真 
CDP 技术 是 持续 不 间断 地 监控 并 备份 数据 变化 ,可 以 恢复 到 过 去 任意 时 间 点 。 

采用 TCDP 技术 的 产品 比 采 用 NCDP 技术 的 产品 少 。 这 一 方面 是 由 于 技术 原因 ， 
TCDP 需要 解决 数据 的 持续 不 间断 监控 和 记录 的 技术 难题 ; 另 一 方面 是 由 于 TCDP 技术 
持续 备份 时 产生 的 数据 量 ,尤其 是 文件 体积 比较 大 的 情况 下 (例如 多 媒体 文件 ) 产 生 的 数 
据 量 大 于 其 他 备份 方式 产生 的 数据 量 , 对 数据 存储 和 传输 齐 宽 形成 巨大 压力 ,提高 了 运 音 
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成 本 ,因此 ,通常 采用 带宽 限制 等 技术 降低 备份 工作 给 日 常 运营 带 来 的 影响 。 
5.8.2 灾难 备份 和 恢复 


在 应 用 灾难 备份 (人 简称 灾 备 ) 与 恢复 技术 时 ，,j rh 与 恢复 功能 ,规划 完整 数 
据 备 份 的 实施 周期 ,数据 备份 的 介质 应 在 运行 场所 外 存放 。 还 可 以 通过 建立 异地 灾 备 中 
心 、 网 络 路 径 备份 等 方式 应 对 由 于 人 为 或 or ,保障 信 
息 系 统 和 组 织 业 务 、 应 用 正常 运行 。 

灾 备 从 安全 保障 范围 可 分 为 数据 级 .应 用 级 和 业务 级 3 个 级 别 。 

数据 级 灾 备 主要 关注 数据 ,在 灾难 发 生 之 后 ,可 以 确保 数据 不 受到 损坏 。 对 于 级 别 较 
低 的 数据 灾 备 方案 来 说 ,可 以 将 需要 备份 的 数据 通过 人 工 的 方式 保存 到 异地 ,例如 ,将 备 
份 的 磁 审 、 硬 盘 或 光盘 定期 运送 到 异地 保存 。 而 较 高 级 的 数据 灾 备 方案 则 依靠 基 于 网 络 
的 数据 复制 工具 实现 生产 中 心 不 同 备份 设备 之 间或 生产 中 心 与 灾 备 中 心 之 间 的 异步 / 同 
步 的 数据 传输 ,例如 ,采用 基于 磁盘 阵列 的 数据 复制 功能 。 

应 用 级 灾 备 是 建立 在 数据 级 灾 备 的 基础 上 的 , 它 包含 了 对 应 用 系统 的 复制 ,也 就 是 在 
异地 灾 备 中 心 再 构建 一 套 应 用 文 撑 系统 ,其 中 包括 数据 备份 系统 、 备 份 数 据 人 处理 系 统 、 备 
份 网 络 系 统 等 部 分 。 应 用 级 灾 备 能 提供 应 用 系统 接管 能 力 , 即 在 生产 中 心 发 生 故 障 时 , 灾 
备 中 心 能 够 接管 应 用 系统 ,从 而 尽量 减少 系统 停机 时 间 ,保障 业务 连续 性 。 

业务 级 灾 备 是 最 高 级 别 的 灾 备 系统 , 它 包 括 非 IT 系统 。 当 发 生 重 大 灾难 时 ,用 户 的 
主要 办 公 场 所 可 能 会 被 破坏 ,除了 需要 恢复 原来 的 数据 .应 用 以 外 ,还 需要 将 工作 人 员 安 
置 在 一 个 备份 的 工作 场所 ,正常 地 开展 业务 。 

国内 灾难 备份 与 恢复 过 程 的 国家 标准 是 《信息 安全 技术 信息 系统 灾难 恢复 规范 》 
(GB/T 20988 一 2007) 和 《信息 安全 技术 灾难 恢复 中 心 建 设 与 运 维 管理 规范 》(CGB/T 工 
30285 一 2013) ,这 两 个 标准 分 别 规 定 了 信息 系统 灾难 恢复 应 遵循 的 基本 要 求 和 灾难 恢复 
中 心 建 设 与 运 维 的 管理 过 程 。 其 中 关于 灾难 恢复 和 灾难 备份 中 心 的 定义 如 下 : 

灾难 恢复 是 为 了 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 状态 并 
将 其 支持 的 功能 从 灾难 造成 的 不 正常 状态 恢复 到 可 接受 状态 而 设计 的 活动 和 流程 。 

灾难 备份 中 心 是 用 于 在 灾难 发 生 后 接 蔡 主 系统 进行 数据 处 理 和 支持 关键 业务 功能 运 
作 的 场所 。 

GB/T 20988 一 2007 将 灾难 恢复 能 力 划 分 为 以 下 6 级。 

第 一 级 为 基本 文 持 ,其 能 力 如 表 5-5 所 示 。 

表 5-5 第 一 级 灾难 恢复 能 力 
要 素 要 求 
pi 份 至 少 周一 次 ; 
备份 数据 处 理 系 统 
备用 网 络 系统 


1 


要 素 
备用 基础 设施 
专业 技术 支持 能 力 


运行 维护 管理 能 力 


灾难 恢复 预案 


有 符合 介质 存放 条 件 的 场地 


有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 
按 介 质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 


有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


第 二 级 为 备用 场地 文 持 ,其 能 力 如 表 5-6 所 示 。 


要 素 


数据 备份 系统 


备份 数据 处 理 系统 


备用 网 络 系 统 


备用 基础 设施 


专业 技术 支持 能 力 


灾难 恢复 预案 


表 5-6 第 二 级 灾难 恢复 能 力 
要 求 


完全 数据 备份 至 少 每 周一 次 ; 
备份 介质 场 外 存放 


在 备用 场地 配备 灾难 恢复 所 需 的 部 分 数据 处 理 设备 ,或 灾难 发 生 后 能 在 预定 


时 间 内 调配 所 需 的 数据 处 理 设备 到 备用 场地 


在 备用 场地 配备 部 分 通信 线路 和 相应 的 网 络 设 备 , 或 灾难 发 生 后 能 在 预定 时 


间 内 调配 所 需 的 通信 线路 和 网 络 设备 到 备用 场地 


有 符合 介质 存放 条 件 的 场地 : 
有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 


有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 

有 备用 站 点 管理 制度 ; 

与 相关 厂商 有 符合 灾难 恢复 时 间 要 求 的 紧急 供 贷 协议 ; 

与 相关 运营 商 有 符合 灾难 恢复 时 间 要 求 的 备用 通信 线路 协议 


有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


第 三 级 为 电子 传输 和 部 分 设备 文 持 ,其 能 力 如 表 5-7 所 示 。 


数据 备份 系统 


备份 数据 处 理 系统 


备用 基础 设施 
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表 5-7 第 三 级 灾难 恢复 能 力 
要 求 


完全 数据 备份 至 少 每 周一 次 ; 
备份 介质 场 外 存放 ; 
每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 


配备 灾难 恢复 所 需 的 部 分 数据 处 理 设备 
配备 部 分 通信 线路 和 相应 的 网 络 设备 


有 符合 介质 存放 条 件 的 场地 ; 
有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 


专业 技术 支持 能 力 


第 5 章 终端 安全 管理 措施 


在 灾难 备份 中 心 有 专 职 的 计算 机 机 房 运行 管理 人 员 


有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
有 备用 计算 机 机 房管 理 制 度 ; 

有 备用 数据 处 理 设备 硬件 维护 管理 制度 

有 电子 传输 数据 备份 系统 运行 管理 制度 


有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


第 四 级 为 电子 传输 及 完整 设备 文 持 ,其 能 力 如 表 5-8 所 示 。 


数据 备份 系统 


备份 数据 处 理 系统 


备用 网 络 系统 


备用 基础 设施 


专业 技术 支持 能 力 


运行 维护 管理 能 力 


第 五 级 为 实时 数据 传输 


数据 备份 系统 


表 5-8 第 四 级 灾难 恢复 能 力 
完全 数据 备份 至 少 每 天 一 次 ; 
备份 介质 场 外 存放 |; 
每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 
配备 灾难 恢复 所 需 的 部 分 数据 处 理 设备 并 处 于 就 绪 状 态 或 运行 状态 


配备 灾难 恢复 所 需 的 通信 线路 ; 
配备 灾难 恢复 所 需 的 网 络 设备 并 处 于 就 绪 状 态 


有 符合 介质 存放 条 件 的 场地 ，; 

有 符合 备用 数据 处 理 系 统 和 备用 网 络 设备 运行 要 求 的 场地 ; 
有 满足 关键 业务 功能 恢复 运作 要 求 的 场地 ; 

以 上 场地 应 保持 7X24h 运作 

有 7X24h 专职 计算 机 机 房管 理 人 员 ; 

有 专职 数据 备份 技术 支持 人 员 ; 

有 专职 硬件 网络 技术 支持 人 员 


有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
有 备用 计算 机 机 房 运 行 管理 制度 ; 

有 硬件 和 网 络 运行 管理 制度 ; 

有 电子 传输 数据 备份 系统 运行 管理 制度 


有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


完整 设备 文 持 ,其 能 力 如 表 5-9 所 未 ， 
表 5-9 第 五 级 灾难 恢复 能 力 
要 求 


完全 数据 备份 至 少 每 天 一 次 ; 
备份 介质 场 外 存放 ; 
采用 远程 数据 复制 技术 ,并 利用 通信 网 络 将 关键 数据 实时 复制 到 备用 场地 
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终端 安全 管理 


续 表 
备份 数据 处 理 系统 “| 配备 灾难 恢复 所 需 的 部 分 数据 处 理 设 备 并 处 于 就 绪 或 运行 状态 
配备 灾难 恢复 所 需 的 通信 线路 ; 
备用 网 络 系统 配备 灾难 恢复 所 需 的 网 络 设备 并 处 于 就 绪 状 态 ; 
具备 通信 网 络 自动 或 集中 切换 能 力 
有 符合 介质 存放 条 件 的 场地 ，; 
备用 基础 设施 有 符合 备用 数据 处 理 系统 和 备用 网 络 设备 运行 要 求 的 场地 ; 
ee 有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 ; 
以 上 场地 应 保持 7X24h 运作 
有 以 下 7X24h 的 专职 人 员 ，: 
2 。 计算 机 机 房管 理 人 员 
专业 技术 文 持 能 习 “| 。 数 据 备份 技术 支持 人 员 ， 
。 人 硬件、 网 络 技术 支持 人 员 
有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 
按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
运行 维护 管理 能 力 ”| 有 备用 计算 机 机 房 运行 管理 制度 
有 硬件 和 网 络 运行 管理 制度 ; 
有 实时 数据 备份 系统 运行 管理 制度 
灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 
第 六 级 为 数据 雯 丢失 和 远程 集群 文 持 ,其 能 力 如 表 5-10 所 示 。 
表 5-10 第 六 级 灾难 恢复 能 力 
完全 数据 备份 至 少 每 天 一 次 ; 
数据 备份 系统 备份 介质 场 外 存放 ; 
远程 实时 备份 ,实现 数据 零 丢 失 
备用 数据 处 理 系统 具备 与 生产 数据 处 理 系 统一 致 的 处 理 能 力 并 完全 兼容 ; 
备份 数据 处 理 系 统 应 用 软件 是 集群 的 ,可 实时 无 锋 切 换 ; 
具备 远程 集群 系统 的 实时 监控 和 自动 切换 能 力 
配备 与 主 系统 相同 等 级 的 通信 线路 和 网 络 设备 ; 
备用 网 络 系统 备用 网 络 处 于 运行 状态 ，; 
最 终 用 户 可 通过 网 络 同时 接 人 主 、 备 中 心 
有 符合 介质 存放 条 件 的 场地 ; 
备用 基础 设施 有 符合 备用 数据 处理 系 统 和 备用 网 络 设 备 运 行 要 求 的 场地 ; 
站 有 满足 信息 系统 和 关键 业务 功能 恢复 运作 要 求 的 场地 ; 
以 上 场地 应 保持 7X24h 运作 
有 以 下 7X24h 的 专职 人 员 : 
。 计算 机 机 房管 理 人 员 ; 
专业 技术 支持 能 力 。 专职 数 据 备份 技术 支持 人 员 ; 
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。 专 职 硬件 .网 络 技术 支持 人 员 ; 
。 专 职 操 作 系 统 数据库 和 应 用 软件 技术 支持 人 员 


有 介质 存 取 、 验 证 和 转 储 管理 制度 ; 

按 介质 特性 对 备份 数据 进行 定期 的 有 效 性 验证 ; 
有 备用 计算 机 机 房 运 行 管理 制度 ; 

有 硬件 和 网 络 运行 管理 制度 ; 

有 实时 数据 备份 系统 运行 管理 制度 ; 

有 操作 系统 、 数 据 库 和 应 用 软件 运行 管理 制度 


灾难 恢复 预案 有 相应 的 经 过 完整 测试 和 演练 的 灾难 恢复 预案 


运行 维护 管理 能 力 


与 灾难 相关 的 灾 备 认证 体系 是 灾 备 技术 国家 工程 实验 室 .教育 部 网 络 攻 防 重 点 实验 
室 .中 国信 息 安 全 认证 中 心 联合 推出 的 中 国信 息 安 全 与 灾难 恢复 (China Information 
Security and Disaster Recovery,CISDR) 认 证 , 它 作 为 信息 安全 与 灾 备 企业 的 必 备 资质 ， 
是 信息 安全 与 灾 备 技术 人 员 和 管理 人 员 资 质 评定 的 重要 依据 ,是 各 行业 信息 安全 与 灾 备 
相关 人 员 专 业 水 平 的 重要 衡量 标准 。 

灾难 备份 和 恢复 的 主要 衡量 指标 有 恢复 时 间 目 标 (Recovery Time Objective, RTO) 
和 恢复 点 目标 (Recovery Point Objective,RPO ) 。 

RTO 是 指 灾 难 发 生 后 ,信息 系统 或 业务 功能 恢复 到 最 低 可 用 水 平 的 时 间 段 。 它 可 以 
包括 笠 试 在 没有 恢复 的 情况 下 修复 问题 的 时 间 ,恢复 过 程 本 号 的 时 间 和 测试 时 间 等 。 例 
如 ,组织 根据 有 目 身 要 求 设 定 RTO 为 4h, 表 示 发 生 事故 后 4h 内 需要 恢复 相关 的 系统 和 
服务 。 

RPO 是 指 灾 难 发 生 后 ,系统 和 数据 应 恢复 到 最 低 可 用 水 平 的 时 间 点 。 例 如 ,组 织 定 
义 RPO 为 4h, 表 示 从 系统 和 数据 的 角度 而 言 , 能 够 恢复 的 文 持 组 织 业 务 运 作 的 相关 数据 
是 事故 发 生前 4h 的 备份 数据 。 图 5-14 是 参数 设置 失败 案例 ,其 中 设置 的 RTO 和 RPO 
部 未 满足 设 定 的 目标 。 


系统 正 弟 运行 


备份 数据 点 忆 体 恢复 目标 系统 恢复 运行 
| | 
| RPO RTO | 
| : | 
| 
| I : I | 
| 
| 上 | 
| 
i 时 间 


[一 -到 十 - = ) i 
实际 丢失 “党 合 分。 系统 实际 恢复 时 间 


图 5-14 RTO 与 RPO 设置 失败 案例 


从 业务 系统 实际 运行 的 角度 来 说 ,RTO 和 RPO 的 理想 状态 都 是 趋 于 零 ,以 减少 业务 
和 数据 的 损失 ,但 RTO 和 RPO 也 要 综合 业务 .成 本 等 方面 的 因素 来 确定 。 
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59 安全 事件 处 鞋 与 呆 应 


随 着 信息 化 社会 的 发 展 ,各 类 信息 系统 投入 了 大 量 的 投资 以 建设 庞大 的 安全 防御 染 
构 ,IDS、 防 火 墙 \ 扫 描 器 、 审 计 系 统 、WAF ,防毒 墙 等 各 类 安全 设备 应 有 尽 有 。 但 是 ,针对 
网 络 与 终 问 的 安全 事件 仍然 层出不穷 ,敏感 数据 泄露 的 安全 事故 更 是 比比 崩 是 。 和 恶意 威 
胁 由 原来 的 育 目 直接. 粗 又 的 攻击 手段 转变 为 现在 的 精确 化 .持久 化 .隐匿 式 的 恶意 攻 
击 , 它 们 会 依照 安排 好 的 多 个 阶段 有 条 不 名 地 展开 , 预 估 好 每 一 步骤 ,通过 侦 测 .武器 化 、 
传输 .漏洞 利用 、 植 和 人 渗透.C?2( 也 称 C&C,Command and Control Server , 指 木马 的 控制 
和 命令 服务 右 )、 鲫 取 等 多 个 步骤 的 “杀伤 链 ” 达 到 最 终 的 目的 ,并 可 在 短 时 间 造 成 用 户 的 
惨重 损失 。 

攻击 者 通常 都 会 在 内 网 的 各 个 角落 留 下 蛛丝马迹 ,真相 往往 隐藏 在 网 络 的 流量 和 系 
统 的 日 志 中 。 传 统 的 安全 事件 分 析 思 路 是 : 过 历 各 个 安全 设备 的 告警 日 志 , 答 试 找 出 其 
中 的 关联 关系 。 但 依靠 这 种 分 析 方 式 ,传统 安 全 设备 通 第 都 无 法 对 高 级 攻击 的 各 个 阶段 
进行 有 效 的 检测 ,也 就 无 法 产生 相应 的 告警 ,安全 人 员 人 花费 大 量 精力 进行 告警 日 志 分 析 往 
往 徒 序 无 功 。 第 见 的 终 奖 安全 检测 方法 中 采用 的 防御 技术 大 体 可 分 为 静态 防御 和 动态 防 
御 两 种 。 


5.9.1 静态 防御 技术 


静态 防御 技术 是 依靠 已 知 样本 来 识别 恶意 文件 .URL 等 相关 信息 ,主要 针对 样本 甫 
态 代码 特征 进行 对 比分 析 以 实现 对 攻击 进行 防御 的 技术 。 同 时 ,该 技术 也 依靠 特征 库 的 
更 新 来 发 现 较 新 的 恶意 威胁 。 但 是 ,在 互联 网 飞速 发 展 的 今天 ,每 天 新 增 的 恶意 样本 已 经 
突破 百 万 级 别 。 随 着 攻击 的 进化 ,攻击 者 采用 的 攻击 手法 和 技术 都 是 未 知 漏洞 (0Day)、 
未 知 恶意 代码 等 未 知行 为 ,这 些 技术 手段 可 以 轻松 逃避 传统 的 检测 方法 和 防御 技术 。 在 
这 种 情况 下 ,依靠 已 知 特征 .已 知行 为 模式 的 静态 防御 技术 显得 力不从心 。 


5.9.2 动态 防御 技术 


动态 防御 技术 是 利用 不 确定 的 、 随 机 的 网 络 和 系统 扰乱 攻击 者 的 视线 ,诱骗 攻击 者 对 
其 实施 攻击 的 对 抗 防御 技术 。 最 常见 的 动态 防御 技术 就 是 动态 沙 箱 , 它 是 一 种 在 虚拟 仿 
真 环境 下 执行 未 知 文件 并 通过 其 行为 来 判别 威胁 的 防御 技术 ,通常 利用 多 种 沙 箱 环境 来 
适 配 不 同 的 恶意 样本 在 不 同 的 环境 下 执行 的 情况 。 但 是 ,攻击 者 在 发 起 攻击 前 通常 都 会 
精心 策划 每 一 个 攻击 环节 ,包括 攻击 工具 的 开发 .控制 网 络 的 构建 .木马 程序 的 投递 .本 地 
的 突 防 利用 、 通 信 通 道 的 构建 等 。 攻 击 者 很 快 就 意识 到 恶意 样本 虽然 不 能 回避 沙 箱 ,但 可 
以 主动 检测 当前 的 运行 环境 是 虚拟 环境 还 是 真正 的 目标 终端 。 攻击 者 利用 仿真 时 间 有 
限 、 缺 乏 用 户 交互 .只 有 特定 的 操作 系统 的 图 像 等 沙 箱 局 限 性 的 特点 进行 环境 判断 ,以 此 
来 确保 他 们 的 恶意 代码 在 沙 箱 的 模拟 环境 中 不 被 运行 ,从 而 脱离 沙 箱 环境 后 成 功 渗透 到 
内 网 中 。 
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5.9.3 检测 与 咽 应 


传统 防御 技术 要 发 现 和 消除 威胁 、 评 估 损 失 需 要 数 周 甚至 数 月 的 时 间 , 究 其 原因 在 于 
依靠 已 知 攻击 特征 .已 知行 为 模式 进行 检测 的 网 络 安全 防护 技术 手段 无 法 预知 新 型 恶意 
威胁 的 攻击 特征 与 攻击 行为 模式 ,传统 的 防御 技术 在 面 对 当 今 终端 上 的 各 种 高 级 威胁 问 
题 时 已 经 捉襟见肘 。 对 高 级 攻击 进行 检测 需要 对 内 网 全 部 数据 进行 快速 分 析 , 这 要 求 本 
地 具备 收集 并 存储 终端 海量 行为 数据 的 能 力 和 相关 的 检索 能 力 。 然 后 , 找 出 关键 目标 和 
威胁 ,对 事件 进行 深度 关联 分 析 , 最 后 对 恶意 威胁 进行 有 效 的 处 置 和 抵御 。 

以 美国 为 代表 的 网 络 安全 先进 国家 已 经 越 来 越 清晰 地 意识 到 : 安全 不 是 在 一 个 点 上 
的 攻防 与 决战 ,而 是 一 个 长 期 的 反复 较量 。 为 了 打 赢 网 络 战争 ,需要 全 面 的 情报 体系 和 对 
情报 的 分 析 解读 能 力 ,而 不 是 像 以 往 那 样 仅仅 依靠 某 个 报 文 . 某 个 会 话 或 某 个 文件 的 孤立 
的 、 非 关联 的 判断 。 因 此 ,以 美国 为 首 的 发 达 国 家 率先 提出 了 安全 情报 的 概念 ,实际 上 就 
是 全 方位 搜集 所 有 可 能 与 安全 相关 的 数据 信息 ,利用 大 数据 分 析 技术 对 数据 进行 分 析 、. 解 
起 ,在 此 基础 上 控 气 出 可 能 存在 的 潜在 威胁 ` 已 经 存在 的 高 隐秘 性 攻击 或 已 经 完成 的 渗透 
行为 。 

由 此 可 见 , 对 于 内 网 终端 高 级 威胁 ,必须 将 威胁 情报 与 本 地 化 、 自 动 化 的 智能 响应 相 
结合 ,才能 大 幅 缩 短 安全 调查 时 间 ,有效 提升 威胁 处 置 效率 。 

上 述 两 种 终端 安全 检测 技术 在 检测 和 响应 能 力 方面 的 对 比如 表 5-11 所 示 。 


表 5-11 检测 和 了 响应 能 力 对 比 


比 较 项 静态 防御 技术 动态 防御 技术 检测 和 啊 应 能 力 
实时 可 见 性 

数据 可 视 性 无 查询 ,扫描 端点 持续 记录 
行为 记录 

DR 威胁 情报 

人 ZL | 签 一 心 i - 

检测 能 力 名 方式 检测 行为 分 析 

修复 能 力 签名 检测 基于 黑白 名 单 可 定制 防御 形式 

已 知 恶意 软 件 日 定义 禁止 策略 自动 修正 


5.9.4 威胁 情报 


在 终端 安全 威胁 检测 和 啊 应 中 ,威胁 情报 (Threat Intelligence,TI) 有 着 公关 重要 的 
作用 。 攻 击 者 获取 网 络 攻击 工具 的 深 道 越 来 越 多 ,导致 网 络 攻击 成 本 越 来 越 低 ,而 网 络 攻 
击 强度 却 越 来 越 大 。 由 于 网 络 安全 威胁 的 泛 在 性 和 多 样 性 ,攻击 手段 呈现 复 录 化 和 持续 
性 的 特点 ,传统 的 安全 防护 方法 使 得 一 个 个 信息 系统 形成 了 信息 安全 扳 岛 ,检测 .防御 已 
和 和 未 知 网 络 攻击 的 难度 也 越 来 越 大 。 通 过 威胁 情报 信息 共 旦 ,将 海量 的 威胁 情报 汇聚 
起 来 ,能 够 有 效 地 提高 终端 和 网 络 的 安全 防御 能 力 。 
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许多 机 构 都 对 威胁 情报 进行 过 描述 , 现 阶段 主要 采用 的 是 国际 权威 IT 咨询 机 构 
Gartner 提出 的 有 关 定 义 ; 威胁 情报 是 基于 证 据 的 知识 ,包括 背景 、 机制、 指标 .影响 和 可 
操作 的 建议 ,这 些 知识 与 现 有 的 或 正在 出 现 的 对 资产 的 威胁 或 危害 相关 ,可 用 于 为 有 关 访 
主体 对 该 威胁 或 危害 的 反应 作出 决 生 提 供 信 息 。 


1. 美国 STIX 和 TAXII 

在 威胁 情报 的 实施 和 标准 化 方面 ,美国 位 拓 前 列 , 提 出 了 威胁 情报 的 众多 相关 标准 ， 
主要 是 由 MITRE 公司 发 布 的 STIX(Structured Threat Information Expression,; 续 构 化 
威胁 信息 表达 式 )、TAXII(Trusted Automated eXchange of Indicator Information ,可 信 
的 上 月 动 千 能 信息 交换 )、CybOX(CCyber Observable eXpression ,网 络 可 观察 表达 式 )3 种 
主要 标准 ,其 中 CybOX 已 整合 至 STIX 2.0 中 。 除 此 之 外 ,MITRE 系列 标准 还 包括 
MAEC(Malware Attribute Enumeration and Characterization, 恶意 软件 属性 枚 举 与 表 
征 )\、OVALIOpen Vulnerability and Assessment Language, 开 放 式 脆弱 性 与 评估 语言 )、 
CAPEC(Common Attack Pattern Enumeration and Classification ,各 见 攻击 模式 枚 举 与 
分 类 ) 等 。 下 面 介 绍 两 种 凋 用 的 协议 一 一 STIX 和 TAXII。 

1) STIX 

STIX 由 美国 MITRE 公司 与 DHS(Department of Homeland Security, 国 土 安 全 部 ) 
联合 发 布 ,是 用 于 表述 网 络 威胁 信息 的 一 种 序列 化 格式 语言 。STIX 提供 了 一 个 统一 架 
构 , 将 各 种 各 样 的 网 络 威胁 的 特征 通过 对 象 和 描述 关系 清晰 地 表示 ,包括 威胁 元 素 、 威 肋 
活动 威胁 属性 等 。 

STIX 的 适用 场景 包括 以 下 4 种 : 

(1) 威胁 分 析 。 包 括 威胁 的 判断 分析、 调查 、 保 留 记录 等 。 

(2) 威胁 特征 指标 。 通 过 人 人 工 方式 或 目 动 化 工具 将 威胁 特征 进行 分 类 ，。 

(3) 威胁 预防 及 安全 事件 应 急 处 理 。 包 括 安 全 事件 的 防范 、 侦 测 、 处 理 . 总 绪 等 ,对 以 
后 的 安全 事件 处 置 有 很 好 的 依 鉴 作用 。 

(4) 威胁 信息 共 译 。 用 标准 化 的 框架 进行 威胁 信息 描述 与 共 至 

STIX 目前 发 布 了 1.0 和 2.0 两 个 版 本 ,STIX 1.0 基于 XML 定义 ,STIX 2.0 基于 
JSON 定义 。STIX 1.0 定义 了 8 种 域 对 象 ,STIX 2.0 则 定义 了 12 种 域 对 象 和 2 种 关系 对 
象 , 如 表 5-12 所 示 。 

2) TAXII 

TAXII 是 通过 HTTPS 交换 威胁 情报 信息 的 应 用 层 协议 ,专门 用 于 文 持 STIX 描述 
的 威胁 情报 交换 ,并 且 必 须 支 持 STIX 2.0 版 本 。 虽 然 TAXII 是 定制 化 协议 ,但 也 可 用 于 
以 其 他 格式 共享 数据 。 为 便于 功能 实现 ,TAXII 尽量 使 用 现 有 的 协议 ,例如 ,TAXII 使 用 
HTTPS 协议 作为 数据 的 传输 协议 ,而 使 用 HTTP 协议 进行 内 容 协商 和 身份 验证 。 需 要 
注意 的 是 ,TAXI 和 STIX 是 两 个 相互 独立 的 标准 ,STIX 的 结构 和 订 列 化 不 依赖 于 任何 
特定 的 传输 机 制 ,而 TAXII 也 可 用 于 传输 非 STIX 的 数据 。 
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表 5-12 STIX 标准 中 定义 的 对 象 


对 象 类 型 STIX 1.0 对 象 名 称 STIX 2.0 对 象 名 称 
可 观测 (Observable) 可 观测 数据 (Observed Data) 
攻击 活动 (Campaign) 攻击 活动 (Campaign) 

应 对 措施 (Course of Action) 应 对 措施 (Course of Action) 
安全 事件 (Incident) 号 份 (ldentity) 
攻击 指标 (Indicator) 攻击 指标 (Indicator) 

域 对 象 渗透 目标 (Exploit Target) 人 侵 集 合 (Intrusion Set) 


(Domain Objects) 威胁 者 (Threat Actor) 亚 意 软件 (Malware) 

攻击 方法 (TTP) 威胁 者 (Threat Actor) 
攻击 模式 (Attack Pattern) 
报告 (Report) 
工具 (Tool) 
脆弱 性 (Vulnerability) 


关系 对 象 关系 (Relationship) 
(Relationship Objects) 关注 (Sighting) 


TAXII 协议 典型 的 应 用 场景 通常 有 4 种. 

(1) 公共 和 警报 或 警告 。 

(2) 私有 警报 和 报告 。 

(3) 推送 和 拉 取 内 容 传播 。 

(4) 建立 和 管理 供需 之 间 的 数据 共享 。 

对 于 应 用 场景 中 的 威胁 情报 共享 方式 ,TAXII 支持 广泛 使 用 的 威胁 共享 模型 : 辐射 
型 \ 点 对 点 型 .订阅 源 型 。TAXII 通过 两 个 主要 服务 模式 来 支持 这 些 共 享 模型 ,如 图 5-15 
所 示 。 


TAXII 客户 端 生产 者 TAXII em 
服务 器 
服务 全 TAXII 
用 户 


(a) 集合 服务 模式 (b) 频道 服务 模式 
图 5-15 TAXII 服务 模型 


(1) 集合 (collections) 服 务 模式 。 由 TAXII 服务 器 作为 情报 中 心 来 集中 、 整 合 威胁 
情报 ,TAXII 客户 六 和 服务 硕 以 请 求 - 啊 应 方式 来 交换 信息 ,多 个 客户 端 可 以 四 同一 服务 
做 请 求 威 胁 情 报信 息 。 

(2) 频道 (channels) 服 务 模式 。 由 TAXII 服务 需 作 为 频道 平台 ,威胁 情报 制作 者 可 
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以 将 威胁 情报 发 布 在 TAXII 服务 器 上 ,TAXII 客户 端 以 订阅 方式 交换 人 信息。 频道 服 务 
允许 一 个 情报 源 数据 推送 给 多 个 威胁 情报 用 户 , 同 时 每 个 威胁 情报 用 户 可 接收 到 多 个 情 
报 源 发 送 的 数据 。 


2. 我 国 的 《信息 安全 技术 网 络 安全 威胁 信息 格式 规 泄 》 

我 国 对 威胁 情报 的 使 用 同样 制定 了 相应 的 国家 标准 , 即 2018 年 10 月 10 日 正式 发 布 
的 《信息 安全 技术 网 络 安全 威胁 信息 格式 规范 》CGB/T 36643 一 2018) 。 该 标准 规定 了 网 
络 安全 威胁 信息 模型 和 网 络 安全 威胁 信息 组 件 ,包括 网 络 安全 威胁 信息 中 各 组 件 的 属性 
和 属性 值 格式 等 信息 。 该 标准 适用 于 网 络 安全 威胁 信息 供 方 和 需 方 之 间 的 信息 生成 、 共 
享 和 使 用 ,网 络 安全 威胁 信息 共享 平台 的 建设 和 运营 可 参考 使 用 。 

该 标准 定义 了 一 个 通用 的 网 络 安全 威胁 信息 模型 ,从 对 象 .方法 和 事件 3 个 维度 对 网 
络 安全 威胁 信息 进行 了 划分 ,采用 可 观测 数据 .攻击 指 标 、 安 全 事件 、 ee 


攻击 目标 、 攻 击 方法 、 应 对 措施 8 个 威胁 信息 组 件 对 网 络 安全 威胁 信息 进行 朱 述 ,如 图 5-16 
所 示 。 


| 
| 
| 攻击 方法 | 
| 
| | 
: | 
| 漏洞 和 用 
| 对象 域 | | 上 
1 | 
| 攻击 目标 - 有 效 措施 应 对 措施 | 
| | 
So- 和 


图 5-16 威胁 信息 模型 


在 该 模型 中 ,8 个 威胁 信息 组 件 分 别 构 成 3 个 域 : 

(1) 对 象 域 。 由 威胁 主体 和 攻击 目标 组 成 ,用 于 摘 述 网 络 安 全 威胁 参与 的 角色 , 通 笛 
为 攻击 者 与 防御 者 。 

(2) 方法 域 。 由 攻击 方法 和 应 对 措施 组 成 ,用 于 描述 网 络 安全 威胁 中 的 方法 。 对 于 
攻击 者 而 言 ,通常 指 攻击 者 实施 入侵 所 采用 的 方法 ,技术 和 过 程 ; 对 于 防御 者 而 言 , 通 常 指 
针对 攻击 行为 的 预警 .检测 .防护 . 啊 应 等 动作 。 

(3) 事件 域 。 由 攻击 活动 .安全 事件 .攻击 指标 和 可 观测 数据 组 成 ,用 于 在 不 同 层面 
描述 与 网 络 安 全 威胁 相关 的 事件 ,例如 ,以 经 济 或 政治 为 攻击 目标 (攻击 活动 ) 对 信息 系统 
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进行 渗透 的 行为 (安全 事件 ) ,对 信息 系统 中 的 终端 或 设备 实施 的 攻击 方法 (攻击 指标 ) ,以 
及 产生 的 在 网 络 或 主机 层面 捕获 的 基础 安全 事件 (可 观测 数据 ) 。 


5.9.5 终端 安全 检测 与 啊 应 模型 


终 闹 检测 与 啊 应 (Endpoint Detection and Response,EDR) 是 以 威胁 情报 驱动 的 新 一 
代 终 端 安全 技术 ,采取 了 一 种 全 新 的 "攻防 倒置 ”的 思路 ,改变 了 防御 者 被 动 的 劣势 : 防御 
者 如 果 有 一 次 防御 失误 ,攻击 者 就 会 成 功 渗 透 。EDR 依 徘 大 数据 威胁 情报 的 指引 ,通过 
最 新 的 安全 事件 线索 快 速 锁 定 威胁 终端 ,通过 实时 数据 和 历史 终端 信息 对 受害 终端 进行 
这 度 评 舍 ,揭示 内 网 终端 的 安全 缺陷 ,通过 目 动 化 啊 应 机 制 进 行 处 置 。 

在 大 数据 威胁 情报 的 指引 下 ,终端 安全 啊 应 系统 可 以 将 一 个 复杂 的 高 级 威胁 安全 啊 
应 分 解 成 为 定位 、 评 佑 \、 啊 应 \ 修 复 等 一 系列 行动 过 程 ,从 而 解决 了 高 级 威胁 难以 处 置 的 问 
题 。 终 问安 全 检测 与 啊 应 模型 有 4 个 要 点 : 

(1) 持续 监测 。 持 续 记 录 终 病 上 的 所 有 行为 ,将 事态 和 动态 的 终端 数据 实时 推送 到 
大 数据 分 析 平 台 进 行 统一 的 存储 和 管理 。 

(2) 主动 检测 。 实 时 接收 大 数据 威胁 情报 .鉴定 中 心 等 告警 线索 信息 ,在 大 数据 分 析 
平台 中 主动 检索 .定位 符合 条 件 的 威胁 终端 。 

(3) 全 面 评 优 。 针 对 威胁 终端 进行 全 面 的 安全 评 们 ,结合 终端 育 景 数 据 , 对 于 终 闪 的 
安全 漏洞 .威胁 的 攻击 步 又 进行 分 析 评 仿 ,发 现 整 个 攻击 链 与 终端 沦陷 的 根本 原因 。 

(4) 目 动 啊 应 。 针 对 不 同类 型 的 终 咒 威胁 提供 相应 的 上 月 动 啊 应 手段 ,结合 终端 、 业 
务 .系统 等 因素 提供 补救 手段 ,提升 安全 基线 ,防止 同类 型 攻击 再 次 发 生 。 


5.9.6 威胁 检测 


终端 用 户 环境 中 可 能 存在 很 多 不 合 规 的 操作 行为 ,导致 终端 被 人 侵 或 存在 安全 风险 。 
终端 威胁 评估 应 能 结合 合 规 性 管理 要 求 执行 终端 检测 策略 ,有效 对 终端 进行 合 规 性 管理 ， 
降低 风险 。 威 胁 检 测 应 具备 以 下 能 力 : 

(1) 数据 采集 。 在 针对 高 级 威胁 的 解决 方案 中 ,核心 是 阻止 高 级 威胁 的 针对 性 攻击 。 
由 于 攻击 者 会 利用 多 种 手段 来 掩盖 他 们 的 恶意 行为 ,所 以 ,可 以 通过 在 终端 中 安装 代理 程 
序 ,实时 记录 终端 行为 数据 .静态 样本 、 软 硬件 资产 等 信息 (例如 网 络 活动 .磁盘 和 内 存 访 
问 .注册 表 信 息 等 ) ,进行 集中 化 存储 ,便于 实时 检测 和 安全 评估 。 

(2) 动态 行为 分 析 。 不 需要 对 一 个 个 具体 的 威胁 指标 进行 检测 ,而 是 对 终端 的 相关 
行为 进行 实时 动态 监测 ,分 析 , 对 恶意 威胁 的 行为 进行 检测 ,以 确定 它 是 否 为 恶意 行为 。 

(3) 云端 威胁 情报 。 基 于 大 数据 的 云端 威胁 情报 是 威胁 检测 的 一 个 主要 情报 来 源 。 
将 威胁 情报 实时 和 终端 中 发 生 的 行为 进行 关联 分 析 后 ,确认 信息 系统 中 是 否 已 经 存在 沦 
陷 的 终端 ,并 对 于 发 现 的 终端 威胁 情报 与 其 他 终端 共享 ,以 便 其 他 终端 面临 此 类 攻击 时 能 
够 做 到 基本 免疫。 


5.9.7 威胁 咽 应 


依托 于 云端 的 海量 数据 ,通过 机 舌 学 习 与 目 动 化 数据 处 理 技术 持续 地 发 现 未 知 威 胁 ， 
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通过 统一 的 规范 化 格式 对 攻击 中 出 现 的 多 种 攻击 特征 进行 标准 化 ,并 生成 可 机 庶 威 胁 情 
报 , 用 以 驱动 终端 在 第 一 时 间 内 对 威胁 进行 及 时 检测 和 啊 应 。 

通过 终 闪 安全 数据 的 不 间断 采集 .监测 与 分 析 , 可 以 显 肴 提升 发 现 洲 在 威胁 的 能 力 ， 
增强 调查 工作 的 便捷 性 ,为 深 入 透彻 地 了 了 解 终 痪 的 威胁 状况 提供 重要 的 育 景 和 基础 。 

威胁 啊 应 应 具备 以 下 能 力 : 

(1) 目 动 化 啊 应 。 这 是 终端 检测 与 啊 应 中 最 重要 的 组 成 部 分 ,需要 拥有 灵活 的 策略 
和 手段 ,日 动 处 置 融 级 威胁 在 杀伤 链 中 不 同 阶段 的 啊 应 动作 ,例如 结束 进程 隔离 文 件 、 补 
本 更 新 等 ,能够 提供 立即 止 损 的 手段 。 

(2) 修复 和 取证 。 亚 意 软 件 会 创建 、 修 改 或 删除 系统 文件 和 注册 表 中 的 设置 以 及 更 
改 终端 配置 。 这 些 变化 可 能 会 导致 系统 发 生 故 障 或 不 稳定 , 需 具 备 能 够 恢复 终端 在 受到 
亚 意 软件 攻击 前 的 状态 的 能 力 ,进行 全 面 的 安全 补救 。 同 时 ,对 于 发 生 在 整个 组 织 信息 系 
统 中 的 恶意 活动 应 能 清晰 呈现 ,便于 安全 人 员 快 速 确定 问题 的 范围 .影响 ,为 上 级 单位 提 
供 里 多 数据 ,对 威胁 事件 进行 取证 。 

(3) 路 平台 文 持 。 终 病 定 义 已 经 扩大 到 不 仅 包 括 运行 Windows 操作 系统 的 计算 机 ， 
因此 威胁 响应 需要 支持 多 个 平台 ,并 且 可 以 对 异 构 ,混合 的 终端 进行 统一 的 管控 , 即 通 过 
一 个 总 的 控制 台 来 对 Windows 和 非 Windows 终 问 (包括 Mac OS,、Linux 和 移动 操作 系 
统 ) 进 行 统一 管理 。 

(4) 数据 存储 能 力 。 大 型 企业 中 涉及 成 千 上 万 的 终端 和 各 地 分 若 部 署 环 境 , 所 以 终 
问安 全 检查 和 啊 应 就 要 求 数 据 存储 平台 本 号 可 以 扩展 ,以 支持 终端 数量 的 快速 增长 ,同时 
需要 具备 海量 数据 存储 能 力 和 快速 计算 能 力 。 

(5) 情报 共享 。 对 于 威胁 事件 生成 终端 威胁 情报 ,对 外 分 享 和 获取 更 多 的 知识 和 攻 
击 行为 的 模式 , 丰 蛙 威胁 情报 来 源 。 能 够 文 持 、 使 用 其 他 的 情报 标准 格式 (例如 CEF、 
STIX、OpenIOC 等 ) ,并 能 与 领先 的 网 络 安全 产品 和 解决 方案 进行 对 接 和 集成 。 

(6) 自 适应 安全 体系 结构 。 它 包括 4 个 阶段 : 预防 .检查 、 预 测 和 回顾 ,未 来 连续 的 监 
测 和 分 析 应 作为 该 体系 结构 的 核心 。 一 个 完整 的 终端 安全 解决 方案 应 该 与 该 体系 结构 的 
4 个 阶段 对 应 ,以 提供 全 面 的 自 适应 保护 ,从 而 免 受 高 级 威胁 的 攻击 。 


510 ”终端 安全 产品 


终 并 安全 越 来 越 受 到 重视 ,国内 外 关于 终端 安全 的 产品 有 很 多 。 下 面 介 绍 一 些 典 型 
产品 相关 的 技术 和 功能 。 


5.10.1 国外 产品 


1. Symantec 
Symantec( 赛 门 铁 殉 ) 终 闹 安 全 产品 融合 了 无 签名 技术 、 融 级 机 此 学 习 , 行 为 分 析 和 
漏洞 利用 防护 、 云 查找 ,入 侵 防 御 、 声 誉 分 析 等 保护 功能 ,保护 常用 应 用 程序 免 受 汤 洞 攻 
击 , 并 将 可 疑 应 用 程序 与 恶意 活动 隅 离开 来 。 通 过 与 网 络 安全 基础 设施 (例如 Web 和 电 
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子 邮件 网 关 ) 集 成 ,检测 威胁 并 进行 响应 。 通 过 EDR 集成 ,用 于 事件 调查 和 响应 。 使 用 开 
放 式 API 与 IT 基础 架构 进行 集成 ,实现 自动 化 和 业务 流程 。 


2. Irend Micro 

Trend Micro( 趋 势 科 技 ) 终 闪 安 全 产品 通过 在 端点 上 构建 多 层 保 护 实现 全 面 的 终端 
保护 ,为 异 构 环 境 提 供 安 全 保护 ,可 以 更 有 效 地 防御 各 种 威胁 ,包括 勒索 软件 .恶意 软件 、 
攻击 、 企 业 电 子 邮 件 泄 雷 . 漏 洞 .无 文件 恶意 软件 等 。 通 过 共享 威胁 情报 ,防范 整个 组 织 中 
出 现 的 新 威胁 。 通 过 安全 异常 噪声 消除 技术 了 逐步 过 滤 威 胁 , 最 大 程度 地 检测 降低 误 报 。 
融合 无 签名 技术 ,包括 机 融和 学 习 、 行 为 分 析 、` 变 体 保 护 .应 用 程序 控制 .漏洞 利用 防范 .文件 
信誉 、Web 信誉 .命令 和 控制 (C&C) 阻 止 等 技术 ,实现 对 可 疑 文件 的 检查 。 通 过 磁盘 、 文 
件 和 文件 夹 加 密 来 保护 数据 ,以 保持 数据 专用 。 基 于 模板 的 数据 丢失 防护 (Data Loss 
Protection, DLP) 保 护 敏感 数据 以 及 进行 设备 控制 ,防止 信息 移动 到 异常 的 空间 (例如 
USB 记忆 棒 ) 。 


3. Sophos 

Sophos 终 疹 安全 产品 通过 结合 深度 和 学习、 册 点 检测 和 啊 应 等 尖 闪 技术 ,实现 对 未 知 
恶意 软件 .漏洞 利用 和 勒索 软件 的 终端 防御 。 采 用 全 面 的 纵 次 防御 方法 ,通过 内 置 的 终 病 
检测 与 响应 CEDR ) 技 术 集 成 恶意 软件 检测 和 漏洞 利用 保护 ,便于 组 织 了 解 安 全 事件 的 范 
围 和 影 啊 ,检测 可 能 未 被 注意 的 攻击 ,分 析 文 件 以 确定 它们 是 否 是 威胁 ,并 报告 组 织 的 安 
全 状况 。 内 置 的 人 工 重 能 功能 是 一 种 这 度 学 习 神 经 网 络 ,是 一 种 先进 机 需 竺 习 形 式 , 可 以 
在 不 依赖 签名 的 情况 下 检测 已 知 和 未 知 的 恶意 软件 。 使 用 行为 分 析 来 阻止 前 所 未 见 的 勒 
索 软 件 . 司 动 记录 攻击 和 勒索 软件 。 通 过 阻止 恶意 软件 禄 取 和 凭据 和 逃避 检测 的 漏洞 和 拉 
术 , 可 以 抵御 隐 性 黑客 和 0Day 攻击 。 


4. Kaspersky Lab 

Kaspersky Lab( 卡 巴 斯 基 实验 室 ) 终 痪 安全 产品 通过 可 扩展 的 保护 ,基于 威胁 情报 引 
擎 ,结合 粒度 控制 . 反 勒 索 软 件 和 漏洞 利用 预防 技术 ,采取 主动 搜寻 攻击 方式 ,在 威胁 造成 
损害 之 前 阻止 威胁 ,快速 ` 有 效 地 应 对 事件 和 数据 泄露 事件 。 利 用 全 天 候 监控 和 事件 啊 应 
服务 ,寻找 网 络 威胁 ,保护 客户 和 员工 数据 ,防止 安全 事件 ,并 降低 数据 泄露 的 风险 。 


5.10.2 国内 产品 


1. 奇 安信 
可 安信 终 病 安全 产品 是 集 终 问 防 病毒 和 安全 省 控 于 一 体 的 终 闹 安全 和 演 理 系统 , 它 结 
合 了 云 问 大 数据 和 威胁 情报 ,能 有 效 感 知 本 地 安全 态势 。 拥 有 先进 的 云 查 杀 引擎、 系统 修 
复 引 擎 `、QEX 脚本 查 杀 引擎 .启发 式 引 擎 、 人 工 智 能 引擎 ,有 效 查 杀 已 知 和 未 知 病毒 。 具 
备 隅 离 防 护 、 人口 防护 .系统 防护 及 应 用 防护 等 主动 防御 技术 ,通过 海量 病毒 样本 数据 月 
学 习 ,无 须 频 繁 更 新 特征 库 ,病毒 检 出 率 仍 远 超 传统 查 杀 引擎 。 具 备 及 时 发 现 和 抵御 未 知 
威胁 的 能 力 ,并 可 以 与 其 他 安全 设备 进行 联动 ,有 效 抵 御 APT。 目 动 识别 全 网 终 问 资产 
信息 ,实时 监控 系统 状态 并 告警 ,保障 业务 连续 性 。 通 过 非法 外 联检 测 .外 设 管 理 . 进 程控 
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制 .主机 防火 墙 、 草 面 安全 加 固 等 多 元 化 方式 提升 终端 安全 等 级 。 对 全 网 终端 漏洞 进行 扫 
描 并 关联 ,支持 旁 路 应 用 准 入 IEEE 802.1x 准 入 及 其 他 多 种 准 人 技术。 提供 全 网 文件 安 
全 审计 、 外 设 使 用 审计 、 多 级 管理 和 多 种 报警 方式 ,实现 高 效 的 全 网 管控 。 通 过 一 体 化 的 
终端 管理 平台 ,能 够 对 等 级 保护 等 合 规 要 求 中 的 恶意 代码 防范 .访问 控制 .非法 外 联 管理 、 
资源 控制 ,资产 管理 ,介质 管理 ,安全 审计 等 控制 点 进行 全 面 窗 盖 。 

依托 于 云端 的 海量 数据 ,通过 机 器 学 习 与 日 动 化 数据 处 理 技术 ,持续 地 发 现 未 知 威 
胁 ,通过 统一 的 规范 化 格式 对 攻击 中 出 现 的 多 种 攻击 特征 进行 标准 化 ,用 于 驱动 终端 在 第 
一 时 间 内 对 威胁 进行 及 时 检测 和 响应 。 通 过 终端 安全 数据 的 不 间断 采集 .监测 与 分 析 功 
能 ,可 以 显著 提升 发 现 潜在 威胁 的 能 力 ,增强 调查 工作 的 便捷 性 ,为 深入 透彻 地 了 解 终端 
的 威胁 状况 提供 重要 的 背景 和 基础 。 对 于 发 现 的 高 级 威胁 事件 ,可 提供 对 应 的 安全 啊 应 
的 处 置 策略 和 任务 ,对 于 威胁 事件 提供 隔 终 上 上 、 隔 离 .取证 等 安全 手段 ,快速 终止 威胁 的 持 


2. 深信 服 

深信 服 终 六 安全 产品 通过 人 工 入 能 持续 学 习 \ 日 我 进化 能 力 ,利用 深度 学 习 训 练 数 干 
个 维度 的 算法 模型 , 米 用 多 维度 的 检测 技术 ,并 使 用 大 数据 运 彰 分 析 , 通 过 特征 训练 不 断 
完善 算法 , 辅 以 信誉 库 和 行为 分 析 、 基 因 特 征 等 技术 ,实现 用 于 鉴定 未 知 病毒 的 无 特征 检 
测 。 根 据 检 测 命中 的 威胁 内 容 , 提 供 基 于 文件 .机 郑 、 群 组 等 的 全 面 处 置 于 段 。 隅 离 啊 应 
手段 包括 终 闪 主机 隅 离 . 业务 组 隔离 .文件 信任 .文件 隔离、 文件 删除 .文件 恢复 等 一 体 化 
统一 管理 方式 。 通 过 多 层次 威胁 检测 、Web 后 门 检测 .僵尸 网 络 检测 \、 人 侵 攻 击 检测 、. 基 
线 合 规 检测 .热点 事件 IOC 检测 等 手段 ,确保 终端 具备 全 面 的 防护 能 力 。 全 类 型 资产 策 
略 一 体 化 也 使 得 每 一 台 终 端 上 的 资产 信息 更 加 清晰 ,便于 管理 。 


3. 局 明星 辰 

局 明星 展 终 端 安全 产品 将 时 面 管理 ,终端 数据 防 泄 露 、 终 病 防 病毒 结合 成 为 一 个 单一 
客户 端 , 实 现 统一 平台 管理 ,数据 关联 融合 。 对 于 从 终端 接 入 网 络 和 对 网 络 资源 进行 访 
问 , 提 供 准 入 控制 技术 ,能 够 适应 复杂 的 网 络 环境 ,确保 准 入 控制 无 旱 点 。 分 布 式 多 级 服 
务 估 管理 架构 可 以 分 为 中 心服 务 硕 和 多 个 本 地 服务 天 ,可 以 对 终 闯 的 管理 规模 进行 扩展 ， 


4. 北 信 源 
北 信 源 终端 安全 产品 以 终端 管理 为 核心 , 集 主 机 监控 审计 、 补 丁 管理 .桌面 应 用 管理 、 
信息 安全 管理 终端 行为 管控 等 终端 安全 管理 功能 于 一 体 ,提供 终端 多 位 一 体 、 统 一 管理 
的 解决 方案 。 网 络 准 入 控制 能 够 定义 企业 终 闹 接 入 的 安全 基线 , 屏 和 李 一 切 不 安全 的 设备 ， 
阻止 外 来 人 员 接 入 网络 ,规范 用 户 接 和 人 网络 的 行为 。 事 件 集 中 报警 处 理 中 心 能 发 现 并 汇 
总 所 有 内 外 安全 管理 事件 的 报警 信息 ,并 将 报警 按 种 类 级别 快速 报 香 给 安全 管理 员 , 同 
时 文 持 短信 声音、 邮件 、 图 形 等 报警 方式 。 
安全 的 本 质 在 于 对 抗 ,对 抗 的 本 质 在 于 攻防 两 端 能 力 的 较量 ,是 人 与 人 之 间 的 对 抗 。 
终端 是 信息 的 最 终 承 载体 。 随 着 技术 的 发 展 和 演进 , 云 、 大 数据 .态势 感知 等 先进 的 技术 
手段 .措施 的 加 入 从 技术 角度 看 确实 可 以 提升 终 问 安全 能 力 。 但 是 ,人 是 终 问 的 管理 者 和 
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使 用 者 ,无论 技术 多 么 先进 , 抛 开 人 的 使 用 、 管 理 来 谈 安全 性 都 是 不 现实 的 ,终端 安全 管理 
离 不 开 人 的 参与 ,人 是 保障 终端 安全 最 为 重要 的 因素 

在 中 国 十 多 年 的 网 络 安全 防护 过 程 中 ,经 历 过 各 式 各 样 的 安全 事件 .攻防 较量 。 大 量 
成 功 经 验 和 失败 教训 表明 ,一 个 有 效 的 安全 体系 应 具备 4 个 基本 要 素 : 第 一 ,数据 是 安全 
的 基础 与 驱动 力 ; 第 二 ,人 是 安全 防护 的 核心 与 尺度 ;第 三 ,安全 运营 与 管理 是 安全 最 重要 
的 手段 ;第 四 ,围绕 数据 人、 工具 、 运 营 管理 的 积极 防御 体系 是 未 来 安全 体系 发 展 的 方向 。 
由 此 也 可 以 清晰 的 认识 到 ,再 先进 的 防护 技术 也 不 能 代替 运营 和 响应 。 

2017 年 6 月 正式 实施 的 (中 华人 民 共和 国 网 络 安全 法 》 是 我 国 网 络 安全 的 基本 法 ,对 
于 网 络 运行 安全 、 网 络 信息 安全 .检测 预警 与 应 急 处 置 、 法 律 责任 规定 了 总 体 要 求 .相关 责 
任 和 义务 。 除 了 国家 法 律 法 规 的 要 求 外 , 企 事业 单位 .组织 机 构 也 需要 根据 自身 的 实际 需 
求 ,建立 相应 的 管理 规章 制度 ,通过 终端 安全 管理 将 各 项 措施 落 到 实处 ,管理 与 技术 并 重 ， 
实现 终端 安全 管理 的 闭环 。 

终端 安全 是 网 络 空间 安全 的 基石 ,大 量 安全 数据 在 终端 使 用 过 程 中 产生 。 脱 离 了 终 
端 安全 数据 ,会 影响 追踪 溯源 .调查 取证 等 依托 数据 驱动 的 安全 措施 的 数据 基础 。 无 论 个 
人 还 是 政 企 组 织 机 构 都 需要 重视 终端 安全 ,通过 先进 技术 的 支撑 、 人 员 的 积极 参与 ,管理 
制度 的 完善 和 政策 法 规 的 支持 ,把 终端 安全 工作 做 好 、 做 强 ,使 之 成 为 保障 网 络 空间 安全 
能 力 的 重要 支柱 之 一 。 


5 11 习 赴 


. 在 终 问 安全 中 通过 什么 方式 实现 对 外 部 设备 的 管理 ? 

. 简 述 IEEE 802.1x 的 认证 流程 。 

. 恶意 代码 防范 涉及 的 技术 方法 有 哪些 ? 

. 安全 UU 盘 使 用 哪些 技术 实现 数据 安全 ”? 

. 亚 意 URL 识别 技术 的 主要 识别 主体 有 哪些 ? 识别 方法 主要 有 了 哪儿 种 ? 
. 在 黑白 名 单 工 作 机 制 中 ,通常 分 哪 几 类 名 单 进行 管理 ? 

. 敏感 信息 主要 有 哪 几 类 ? 涉及 国家 层面 的 又 有 哪 几 类 ? 

. 数据 备份 主要 有 哪 几 种 方法 ? 它们 的 差别 是 什么 ? 

. 第 见 的 威胁 情报 协议 是 什么 ?它们 有 什么 区 别 ? 


SO 
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终 尊 安全 官 理 内 型 条 例 


上 慨 述 


企业 的 信息 系统 ,尤其 是 信息 系统 中 的 终 病 系统 ,面临 着 各 种 各 样 的 安全 威胁 (病毒 
木马 的 人 侵 .各 种 类 型 设备 接 和 人 不 同 网 络 区 域 不 多 管理 .容易 引发 泄密 等 ) 所 市 来 的 问题 
以 及 需要 人 工 维护 各 类 系统 .进行 补丁 升级 等 工作 所 审 来 的 巨大 工作 量 。 这 些 午 为 企 」 
终 病 安全 管理 市 来 了 极 大 的 挑战 。 

随 看 企业 安全 建设 的 推进 ,由 于 受 各 种 条 件 和 因 系 的 限制 ,在 针对 上 述 问 题 制 定 解决 
方 条 的 时 候 ,企业 往 往 采 取 分 而 治之 的 方式 , 即 对 茶 一 类 问题 采用 一 登 独 立 的 系统 进行 应 
对 。 在 需要 进行 资源 整合 .实现 一 体 化 省 理 的 现代 管理 要 求 下 ,企业 内 部 可 能 部 普 了 多 套 
系统 ,而 这 些 系统 可 能 来 日 不 同 的 厂商 ,相互 独立 。 而 且 , 各 系统 间 包 含 的 各 种 各 样 的 安 
全 功能 给 企业 安全 市 来 了 一 些 新 的 问题 : 

(1) 终端 被 各 种 软件 占据 ,资源 耗费 巨大 。 各 系统 通 第 拥有 独立 的 数据 库 、 内 存 加 载 
项 ,数据 扫描 行为 等 一 系列 资源 需求 ,包括 对 磁盘 存储 需求 内存 需求 .CPU 需求 等 ,这 些 
质 源 需求 往往 只 出 于 各 系统 月 身 在 软件 设计 上 的 邯 虑 , 容 钨 导致 对 整体 终端 系统 质 源 的 
较 大 消耗 ,影响 用 户 实际 使 用 体验 ,干扰 用 户 正 凋 业 务工 作 。 

(2) 安全 系统 之 间 容 易 产 生 冲 突 。 终 问安 全 软件 实现 方式 往往 采用 进程 注入 、API 


挂 载 .驱动 挂 载 等 系统 级 处 理 方 去 ,使 得 安全 软件 之 加 的 兼容 性 以 及 安全 软件 与 其 他 软件 
的 菩 容 性 出 现 问题 。 例 如 ,东软 件 安 竣 后 ,其 他 软件 出 现 功 能 无 法 使 用 、 软 件 无 法 局 动 , 终 


闹 系 统 蓝 屏 等 问题 。 而 由 于 终 问 系 统 的 复 淋 性 ,这 种 羔 容 性 所 种 来 的 问题 往往 比较 难以 
处 理 。 

(3) 系统 相互 独立 ,无 法 联动 。 安 全 已 经 从 过 去 扳 立 的 .针对 某 个 方面 的 防护 全 面 进 
人 大 数据 阶段 ,各 种 数据 的 整合 .分 析 `. 处置 是 应 对 新 型 威胁 的 有 效 办 法 。 而 过 去 安全 建 
设 所 产生 的 多 种 安全 防护 体系 彼此 孤立 ,无 论 从 系统 层面 还 是 数据 层面 都 无 法 进行 有 效 
整合 ,从 而 造成 实际 防护 效果 大 打折 扣 , 在 应 对 未 知 威胁 时 捉 禄 见 肘 。 

(4) 管理 维护 困难 。 多 个 安全 系统 的 存在 ,意味 着 针对 每 个 安全 系统 要 有 不 同 的 运 
维 管理 工作 ,如 系统 的 安全 策略 的 定义 、 细 化 、 调 优 . 更改, 系统 的 更 新 ,系统 日 志 管 理 , 数 
据 库 管理 等 一 系列 工作 。 这 无 疑 给 安全 管理 人 员 提 出 了 非常 高 的 要 求 , 这 不 仅 增加 了 工 
作 量 ,而 且 要 求 管理 员 在 不 同 的 系统 之 间 进 行 管理 切换 时 必须 充分 了 解 各 个 系统 之 间 细 
微 的 差别 ,以 确保 对 系统 的 设置 不 会 出 错 。 


6 2 应 对 措施 


如 图 6-1 所 示 ,通过 建设 恶意 代码 防范 体系 .落实 终 端 安全 管理 技术 措施 .启用 统一 
终端 运 维 、 部 署 终端 强制 合 规 接 入 策略 并 全 程 开启 安全 审计 功能 ,建设 终端 合 规 一 体 化 体 
系 ,并 保证 方案 符合 国家 等 级 保护 要 求 。 


企业 信息 系统 的 应 对 措施 有 以 下 儿 个 特点 : 

(1) 信息 收集 。 收 集 终 并 上 的 各 种 安全 状态 信息 ,包括 漏洞 修复 情况 .病毒 木马 情 
况 、 人 危险 项 情 帝 以 及 各 种 软 人 硬件 情况 等 。 这 些 安 全 状态 信息 汇集 到 服务 带 疾 的 控制 中 心 ， 
使 管理 员 全 面 了 解 网 内 所 有 终端 的 安全 情况 、 硬 件 状 态 以 及 软件 安 痛 情况 等 。 

(2) 立体 防护 。 通 过 漏洞 修复 .病毒 木马 查 杀 、 黑 日 名 单 、 硬 件 准 入 .软件 准 和 人、 上 网 
行为 管理 等 多 样 化 的 防护 手段 ,从 准 入 、 防 黑 加 固 .病毒 查 杀 、 软 件 和 上 网 行为 控制 等 多 个 
层次 为 企业 信息 系统 构建 立体 防护 网 ,确保 终端 安全 。 

(3) 集中 管控 。 通 过 统一 的 控制 中 心 , 为 管理 人 员 、 运 维 人 员 提 供 了 统一 修复 漏洞 、 
统一 了 杀毒、 统一 升级 .统一 上 网 管理 .统一 软件 分 发 芭 载 等 多 种 管理 功能 ,管理 人 员 可 以 通 
过 控制 全 对 网 内 所 有 终 病 进行 统一 管控 。 


“63 典型 案例 


6.3.1 政府 部 门 典 型 案例 
图 6-2 是 某 政府 部 门 网 络 拓扑 。 
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图 6-2 某 政府 部 门 网 络 拓扑 


案例 背景 
。 某 省 政府 部 门 内 网 没有 准 入 控制 ,导致 外 部 人 员 随 意 接 人 内 网 ,对 内 网 终端 .服务 
器 等 设备 造成 威胁 


”对 于 移动 存储 设备 没有 做 到 有 效 管理 ,内 部 重要 文档 可 被 随意 复制 , 极 易 造成 敏 
感 信 息 泄 露 。 

。 提高 内 网 准 入 的 安全 性 ,加强 内 网 准 入 控制 ,防止 外 来 人 员 随 意 搁 和 人 网 络 。 

。 限制 非法 外 设 ,减少 文件 外 泄 的 风险 。 

案例 解决 方案 

。 采用 多 级 部 闭 模 式 ,其 中 省 级 政府 部 门 部 着 一 级 服务 右 , 各 地 市 政府 部 门 部 普 二 
级 服务 邢 ,做 到 分 级 管理 。 

。 对 终 病 进 行 准 入 控制 ,增强 政府 部 门 内 网 的 准 入 安全 。 

。 对 非法 设备 进行 使 用 限制 ,将 非法 外 设 拦截 在 合法 终 妆 之 外 ,避免 重要 文档 通过 
连接 非法 存储 设备 外 泄 。 


6.3.2 金融 行业 典型 案例 


随 着 银行 内 部 办 公 环 境 电 子 化 以 及 外 部 交易 渠道 的 不 断 扩展 , 越 来 越 多 的 应 用 系统 
需要 通过 安全 的 终端 环境 与 后 台 服 务 进行 交互 。 为 加 强 商 业 银 行 信 息 科 技 风险 管理 , 根 
据 4《 中 华人 民 共 和 国 银行 业 监 督 管理 法 兴 中 华人 民 共 和 国 商 业 银 行 法 兴 中 华人 民 共 和 国 
外 资 银行 管理 条 例 》 以 及 国家 信息 安全 相关 要 求 和 有 关 法 律 法 规 , 中 国 银 行业 监督 管理 委 
员 会 制定 了 《商业 银行 信息 科技 风险 管理 指引 》。 以 下 介绍 终端 安全 在 金融 行业 中 应 用 的 
两 个 典型 案例 。 
图 6-3 为 A 银行 网 络 拓扑 。 
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E> 2 


图 6-3 ”A 银行 网 络 拓扑 


案例 育 景 


”和 A 银行 全 国 办 公 网 络 在 终端 、 果 面 管理 方面 普 过 存在 不 能 满足 灵活 、 安 全 接 人 和 需 
求 的 问题 。 
。 后 痪 维护 非 负 分散 ,难以 保护 网 络 及 信息 安全 。 


提供 解决 方案 以 保证 终端 及 系统 安全 ,主要 功能 包含 病毒 查 杀 漏洞 补 丁 管 
理 ,系统 软件 、 硬 件 管理 、 软 件 分 发 ,流量 控制 .终端 健康 检查 等 。 

集成 A 银行 现 有 安全 架构 ,具备 较 强 的 扩展 能 力 . 

案例 解决 方案 

。 采 用 多 级 部 署 模式 ,实现 总 行 总 控 、 分 行 分 控 、 多 级 管理 .分 权 管 控 。 

设备 采用 旁 路 部 署 ,降低 安全 风险 ，。 

。 支 持 高 可 用 模式 ,切换 后 保证 管理 控制 不 中 断 。 

。 在 总 行 部 署 私有 去 查 杀 引 擎 ,在 内 网 中 提高 病毒 查 杀 效率 。 

在 总 行 部 属 软件 管家 模块 ,为 内 网 终端 提供 安全 可 靠 的 终端 应 用 程序 ,保证 终端 

上 使 用 的 应 用 程序 全 部 经 过 安全 检测 ,避免 在 终端 上 安装 被 挂 马 .加 这 的 不 安全 

应 用 ,为 终端 自身 的 应 用 提供 安全 保障 ， 

图 6-4 为 BB 银行 网 络 拓扑。 

案例 背景 

。 随 着 业务 的 不 断 发 展 ,B 银行 的 分 支 机 构 规模 和 人 员 规 模 在 逐步 扩大 ,配套 的 计 
算 机 终端 数量 和 种 类 都 在 逐步 增加 ,运行 维护 工作 量 增长 迅速 。 


LR 


终端 安全 管理 终端 安全 管理 终端 安全 管理 终 浏 安全 管理 终端 安全 管理 
系统 客户 站 系统 客户 应 系统 客户 端 系统 客户 应 系统 客户 应 
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终端 安全 管理 系统 
多 天 学 一 级 控制 中 心 


(他 ) 


SS 
私有 云 终 冰 安全 管理 系统 “私有 云 终 禾 安全 常理 系统 私有 云 终 靖 安全 筷 理 系统 
合 杀 3 引擎 天 擎 二 级 控制 中 心 ” 查 杀 引 擎 天 擎 二 级 控制 中 心 “” 查 杀 引 擎 “| 天 擎 二 级 控制 中 心 


图 6-4 B 银 行 网 络 拓扑 


。 果 面 云 拉 术 的 广泛 应 用 在 给 业务 向来 便利 性 的 同时 ,对 终端 软件 的 碰 容 性 提出 了 

。 要 求 终 问 安全 软件 具备 终 问 可 视 化 ,企业 软件 管家 等 多 种 功能 的 扩展 能 力 。 

。 终 痪 兼容 性 。 银 行 分 文 机 构 规 模 和 人 员 规 模 巨 大 , 终 闪 软 件 需要 文 持 果 面 云 、 
Linux 服务 天 .国产 操作 系统 服务 做 等 多 种 复杂 终 闪 环境 。 

。 功能 扩展 性 。 将 管控 审计、 终端 可 视 化 等 内 容 融 合成 一 餐 系统。 

案例 解决 方案 

。，B 银行 共有 3 套 网 络 , 在 银行 内 网 及 用 分 级 部 普 方 式 , 在 DMZ 区 部 普 统 一 的 私有 
云 杀 毒 绾 理 系统 ,分 别 为 测试 网 .办 公 网 .生产 网 提供 集中 管理 、 生 上 略 下 发 、 统 一 更 
新 服务 ,全面 提升 杀毒 效 末 。 

。 在 3 爸 网 络 中 分 别 部 车 天 擎 二 级 控制 中 心 ,所 有 天 擎 二 级 控制 中 心 均 连接 至 

DMZ 区 的 天 擎 一 级 控制 中 心 ,并 通过 天 擎 一 级 控制 中 心 升级 数据 。 

大 敬一 级 控制 中 心 通过 公 网 目 动 升级 ,通过 分 级 里 新 省 理 , 保 证 全 网 更 新 速度 ,并 

且 不 改变 现 有 网 络 管理 模型 。 

提供 传统 的 病毒 防护 能 力 , 针 对 银行 的 盗版 软件 、 终 病源 洞 安 全 级 别 不 可 见 等 管 

理 难 题 , 利 用 软件 管家 ,漏洞 管理 等 技术 给 出 整合 解决 方案 。 

平台 一 体 化 。 安 装 了 兼容 Linux、Windows、 国 产 操作 系统 的 传统 终端 ,同时 提供 

云 困 面 \ 服 务 能 等 多 终 并 环境 的 统一 管理 能 力 ,为 后 台 运 维 管理 工作 提供 便利 。 

功能 一 体 化 。 终 病 安 全 管理 系统 是 集 杀 毒 管控 、. 准 人 .审计 等 多 功能 于 一 体 的 终 

冉 安 全 解决 方案 ,为 后 续 的 功能 扩展 提供 完整 技术 文 持 。 


第 6 章 终端 安全 管理 典型 案例 


6.3.3 企 事 业 单 位 典型 案例 


1. 某 航 空 公司 案 例 
图 6-5 为 某 航 空 公司 网 络 拓 扑 。 
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S 一 一 -一 = 一 Ty 


图 6-5 某 航 空 公司 网 络 拓扑 


案例 背景 
。 某 航 空 公司 内 部 员工 安 疾 了 大 量 的 个 人 版 杀毒 软件 ,内 网 缺乏 统一 管理 终 问 杀毒 
功能 的 能 力 。 

。 需要 加 绰 终 病 安 全 管理 ,提供 一 体 化 管理 的 解决 方案 。 

需求 分 析 

。 将 已 安 乡 个 人 版 杀毒 软件 的 终 关 无 颖 迁移 到 奇 安 信 天 擎 企业 版 。 

。 优化 终端 安全 管理 ,引入 在 终端 安全 运 维 管控 方面 将 各 类 安全 功能 有 机 融合 的 终 
痪 安全 解 决 方案 。 

案例 解决 方案 

。 为 全 网 终 闪 提供 时 面体 检 、 优 化 加 速 及 垃圾 清理 的 “日 面 管家 ?功能 ,客户 只 用 户 
可 方便 进行 一 键 操 作 , 终 问安 全 状态 清晰 明了 。 

。 终 病 安全 省 理 系 统 提 供 杀 毒 防毒 、 企 业 软 件 管 家 ,非法 外 联 监 控 , 安 全 素 上 略 监 控 年 
多 种 安全 功能 。 在 终 问 的 安全 运 维 省 探 方 面 将 各 类 安全 功能 有 机 融合 ,最 终 实 现 
一 体 化 的 终 病 安全 解决 方案 。 

2. 某 电 力 公 司 案 例 

图 6-6 为 某 电力 公司 网 络 拓扑 。 
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私有 云 二 级 服务 器 
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某 电力 公司 骨干 网 


地 市 网 核心 


私有 云 二 级 服务 右 


生 属 科研 机 构 


图 6-6 某 电 力 公 司 网 络 拓扑 


案例 背景 

。 因为 成 员 单 位 业务 种 闫 众 多 ,与 外 异 数 据 交 换 频 震 , 来 日 外 部 的 恶意 程序 .病毒 和 
木马 对 终 问 安 全 造成 重大 的 威胁 。 

。 各 成 员 单 位 终端 安全 省 控 要 求 不 统一 ,管理 分 敌 。 

。 提升 杀毒 能 力 ,统一 安全 基线 。 

。 啊 应 国家 电网 统一 要 求 ,提供 国家 电网 统一 的 IMS(Integrated Monitor System， 
综合 监 省 系统 ) 接 口 , 定 时 上 报 内 网 终端 防 病毒 客户 端的 防御 悄 沈 。 

案例 解决 方案 

。 采用 多 级 管理 的 模式 ,将 终 剃 防 病毒 和 安全 管理 统一 起 来 ,集中 管控 。 实 现 各 成 
员 单 位 月 主管 理 辖区 终端 ,公司 总 部 实时 管控 全 网 情况 ,并 可 以 根据 业务 情况 组 
建 基于 项 目的 临时 管理 单元 的 多 级 化 灵活 终 病 安全 管理 体系 。 

。 通过 云 查 杀机 制 ,解决 原 有 杀毒 软件 对 终端 资源 消耗 过 大 的 问题 ,成 员 单 位 不 同 
配置 的 终 问 依托 云 引 擎 的 查 杀 能 力 和 黑 日 名 单 库 实现 高 效 ,准确 的 病毒 查 杀 。 

。 集成 准 和 控制、 健康 检 查 、 外 设 管理 `, 补 丁 分 发 .软件 分 发 .资产 管理 、 移动 存储 设 
管理 ,行为 审计 .远程 协助 等 多 项 管理 维护 功能 ,将 安全 和 管理 融合 在 一 起 , 提 

局 终端 运 维 的 工作 效率 。 

管理 员 通 过 丰富 的 报表 直观 地 了 解 目 前 网 内 终端 实时 的 安全 状况 及 软 便 件 资 产 

状况 等 。 


第 6 章 终端 安全 管理 典型 案例 


3. 菏 集 团 公 司 案 例 
图 6-7 为 某 集团 公司 网 络 拓扑 。 
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案例 背景 

。 互联 网 中 各 种 木马 .病毒 .0ODay 漏洞 以 及 APT 等 新 型 攻击 手段 日 渐 增 多 ,病毒 制 
造 技 术 也 在 不 断 发 展 和 更 新 。 传 统 的 依 徘 病 毒 特征 的 病毒 防御 技术 以 及 相关 的 
安全 管理 手段 已 经 无 法 满足 现 阶段 计算 机 安全 的 需要 。 因 此 需要 构建 全 新 的 终 
闹 安 全 省 理 系 统 , 以 应 对 当前 严峻 的 信息 安全 形势 。 

。 集团 各 下 属 单位 网 络 基本 为 自行 建设 和 运 维 ,但 同时 又 与 总 部 互联 和 互通。 总 部 对 
下 属 单位 没有 管理 权 ,需要 建立 集团 层面 的 统一 防 病毒 体系 、 统 一 计算 机 安全 管 
理 体 系 , 以 提高 整个 集团 网 络 安全 的 水 平 ,避免 安全 短 板 出 现 。 

。 在 整个 体系 中 需要 包含 终端 病毒 防护 以 及 终 闪 管理 。 

需求 分 析 

。 集团 网 络 安全 与 终 冰 安 全 需要 解决 统一 防 病毒 与 安全 管理 问题 ,例如 ,网 络 边界 
无 法 有 效 管理 ,缺乏 安全 事件 自动 报警 机 制 ,缺乏 网 内 整体 风险 评估 机 制 , 子 分 公 
司 资产 台 账 不 明 等 ,这 些 问题 对 于 集团 整体 信息 安全 是 急需 解决 的 安全 问题 。 

。 在 统一 防 病毒 与 安全 管理 项 目的 已 有 成 果 中 ,收集 的 大 量 集团 IT 数据 未 得 到 最 
大 化 的 应 用 。 这 些 数据 是 集团 IT 运 维 的 基础 数据 ,对 于 集团 IT 运 维 工 作 具 有 很 
高 的 价值 。 但 目前 缺乏 有 效 的 技术 手段 对 这 些 数据 进行 深化 应 用 ,以 提高 集团 
IT 运 维 业务 效率 。 

案例 解决 方案 

。 了 网络 边界 安全 防护 体系 。 实 现 办 公 网 准 和 人 系统 和 现 有 终 端 安全 管理 系统 的 联动 ， 
使 终 病 从 人 网 开始 到 入 网 之 后 的 行为 可 控 , 达 到 入 网 可 控 、 安 全 可 控 的 效果 。 
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安全 事件 报 索 。 基 于 现 有 防 病毒 及 终 问 安全 省 理 系统 ,通过 安全 联动 建立 安全 事 
件 日 动 报 老 机 制 。 

内 网 终端 整体 安全 风险 评估 。 建 立 内 网 终端 风险 评估 中 心 ,防护 体系 从 现 有 的 被 
动 防护 变更 为 主动 的 风险 发 现 。 

内 网 风险 文件 鉴定 。 实 现 风 险 文件 内 网 鉴定 ,降低 内 网 风险 文件 数量 ,实现 未 知 
文件 鉴定 功能 与 现 有 防 靖 毒 及 终 问 安全 管理 系统 的 联动 。 

建立 集团 终 并 资产 台 账 。 建 设 集团 终 问 资 产 目 动 化 台 账 系统 ,在 集团 内 实现 终端 
终 咽 强 管理 。 实 现 内 网 终 问 果 面 基线 统一 强 管 理 。 制 定 集 团 果 面 省 理 统一 标准 ， 
如 统一 果 面 壁纸 、 统 一 屏保 、 统 一 账号 安全 策略 等 。 

数据 深 化 应 用 。 对 于 集团 统一 防 病毒 及 终 问 安全 管理 项 目 所 收集 的 数据 加 以 深 
化 应 用 ,加 入 数据 分 析 平 人 台 , 提 融 数 据 分 析 性 能 ,实现 数据 分 析 平 台 与 内 网 终端 风 
仿 评 鸽 中心 数据 对 接 。 

增加 功能 模块 或 独立 系统 形式 ,对 接 现 有 防 病毒 及 终 问 安全 管理 系统 相关 接口 ， 
实现 诛 化 应 用 。 建 设 网 络 边界 防护 系统 ,与 统一 防 病毒 与 终 妆 安 全 管理 系统 进行 
联动 ,以 实现 终 病 安全 与 网 络 边界 安全 相 绪 合 。 

通过 扩 术 手段 实现 集团 终端 的 全 履 凋 ,实现 集团 终 闯 统 一 防 病毒 及 安全 管理 的 目 
标 。 以 终 问 发 现 为 突破 口 , 通 过 技术 手段 获取 集团 内 网 的 终 问 分 布 情况 、 互 联网 
出 口 的 分 布 情况 , 斤 合 系统 获取 的 软 便 件 次 产 信 息 ,为 集团 终 病 及 网 络 管理 提供 
了 详细 的 质 产 依据 及 管理 于 段 。 


6 .4 习题 


1. 选 返 一 个 典型 案例 ,设计 并 实现 一 个 典型 的 多 级 部 普 折 扑 结构 。 
2. 朱 述 典型 信息 系统 排 隐 思路 。 


附 孙 从 
闫 文 缩 上 略语 


AAM Administrator Approval Mode 管理 员 批 准 模 式 

ACE Access Control Entry 访问 控制 项 

ACL Access Control List 访问 控制 列表 

AD Active Directory 活动 目录 

ADB Advanced Digital Broadcast 高 级 数字 广播 

ALPC Advanced Local Procedure Call 高 级 本 地 过 程 调用 

API Application Programming Interface 应 用 编程 接口 

APT Advanced Persistent Threat 高 级 持续 性 威胁 

ATM Automatic Teller Machine 目 动 柜员 机 

BCD Boot Configuration Database 引导 配置 数据 库 

BIOS Basic Input/Output System ”基本 输入 输出 系统 

BNC Bayonet Neill-Concelman 卡 口 式 连接 疾 ( 由 Neill-Concelman 发 明 ) 

BSD Berkeley Software Distribution 们 克利 软件 套件 

BSOD Blue Screen of Death 蓝屏 死机 

BSP ”Board Support Package 板 级 支持 包 

BYOD Bring Your Own Device “上 有 目 市 设备 

CA Certification Authority 证 书 颁 发 机 构 , 认 证 中 心 

CAPEC Common Attack Pattern Enumeration and Classification 各 见 攻 击 模 式 
枚 举 与 分 类 

CASB Cloud Access Security Broker 云 访 问安 全 代理 

CBS Component-Based Service 基于 组 件 的 服务 

CC Common Criteria 公共 标准 (CCITSE 的 简称 ) 

CCD Charge Coupled Device 电 和 伍 夸 合 帮 件 

CCITSE Common Criteria for Information Technology Security Evaluation 信息 
技术 安全 评估 公共 标准 

CCTA Central Computer and Telecommunications Agency 中 央 计 算 机 和 电信 和 局 

CD Compact Disc 光 盟 

CDP Continuous Data Protection ”连续 数据 保护 

CEF Common Event Format 通用 事件 格式 

CF Compact Flash 紧凑 型 存储 卡 
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CIM Common Information Model 公共 信息 模型 

CIMOM Common Information Model Object Manager 公共 信息 模型 对 象 管理 需 

CIS Contact Image Sensor 接触 式 图 像 传 感 器 

CISDR China Information Security and Disaster Recovery 中 国信 息 安 全 与 灾难 
恢复 认证 

COM Component Object Model 组 件 对 象 模型 

CPU Central Processing Unit 中 央 处 理 单元 

CRC Cyclic Redundancy Checksum 循环 元 余 校 验 和 

CSI Continuous Service Improvement 连续 服务 改进 

CSIP China National Software and Integrated Circuit Promotion Center 中 国 国 
家 软件 与 集成 电路 促进 中 心 

CybOX Cyber Observable eXpression 网 络 可 观察 表达 式 

DAC Discretionary Access Control 目 主 访问 控制 

DACL Discretionary Access Control List 目 主 访问 控制 列表 

DBSCAN Density-Based Spatial Clustering of Applications with Noise 基于 密度 
的 噪声 应 用 空间 聚 类 

DDoS Distributed Denial-of-Service 分 布 式 拒绝 服务 

DevID Device Identity 设备 标识 

DHS Department of Homeland Security (美国 ) 国 土 安 全 部 

DIN Deutsches Institut fur Normung 人 德国 标准 化 协会 

DISA ” Defense Information Systems Agency 国防 信息 系统 局 

DLL Dynamic Link Library 动态 链接 库 

DLP Data Leakage Prevention 数据 泄露 保护 

DLT Digital Linear Tape 数字 线性 磁带 

DMARC Domain-based Message Authentication ,Reporting and Conformance 基 
于 域 的 邮件 验证 .报告 与 一 致 性 

DMTF Distributed Management Task Force “分布 式 管 理 任 务 组 

DNS Domain Name System 域名 系统 

DOI Department of the Interior (美国 ) 内 政 部 

DP Display Port 显示 端口 

DPI Dots Per Inch 每 英寸 点 数 

DPS Diagnostic Policy Service 诊断 策略 服务 

DRAM Dynamic Random Access Memory 动态 随机 和 存 取 存储 需 

DTE Data Terminal Equipment 数据 终 病 设备 

DV Digital Video ”数字 视频 

DVI Digital Visual Interface ”数字 视频 接口 

EAIL Evaluation Assurance Level 评估 保证 级 别 

EAP Extensible Authentication Protocol 可 扩展 认证 协议 
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EAPOL EAP over LAN 通过 局 域 网 的 可 扩展 认证 协议 

EDR Endpoint Detection and Response 终端 检 测 与 啊 应 

EDSP Embedded Digital Signal Processor 和 通信 式 数字 信号 处 理 需 

EEPROM  _ Electrically Erasable Programmable Read-Only Memory 电 可 探 除 可 
编程 只 读 存 储 器 

EHCI Enhanced Host Controller Interface 增强 型 主机 控制 间接 口 

EIA Electronic Industries Alliance 电子 工业 协会 

EMI Electromagnetic Interference 电磁 干扰 

EPROM Erasable Programmable Read-only Memory 可 擦 除 可 编程 只 话 存 储 紫 

EXT Extended File System 延伸 文件 系统 

FDCC Federal Desktop Core Configuration 联邦 果 面 核心 配置 

FDDI Fiber Distributed Data Interface 光纤 分 布 式 数据 接口 

FHS Filesystem Hierarchy Standard 文件 系统 层次 化 标准 

FSF Free Software Foundation 自由 软件 基金 会 

GDPR General Data Protection Regulation 通用 数据 保护 条 例 

GID Group Identification 用 户 组 号 码 

GPL General Public License 通用 公共 许可 证 

GPO Group Policy Object 组 策略 对 和 象 

GPT GUID Partition Table GUID 分 区 表 

GPU Graphics Processing Unit 图 形 处 理 单 元 

GUI Graphical User Interface 图形 用 户 界 面 

GUID Globally Unique Identifier 全 局 唯一 标识 符 

HAI Hardware Abstract Layer 便 件 抽象 层 

HDD Hard Disk Drive 便 盘 驱动 响 

HDMI High-Definition Multimedia Interface 高 清 多 媒体 接口 

HIDS Heost-based Intrusion Detection System 基于 主机 的 人 侵 检 测 系 统 

HTTPS HyperText Transfer Protocol Secure 安全 超 文 本 传输 协议 

IA Information Appliance 信息 家 电 

I2C Inter Integrated Circuit 内 部 集成 电路 总 线 

IDC International Data Corporation 国际 数据 公司 

IDE Integrated Drive Electronics 集成 驱动 电子 设备 

IDS Intrusion Detection System 人 人 侵 检 测 系 统 

IE Internet Explorer 互联 网 浏览 寓 

IEC International Electrotechnical Commission 国际 电工 委员 会 

IEEE Institute of Electrical and Electronics Engineers 电气 电子 工程 师 学 会 

IIS Internet Information Service 互联 网 信息 服务 

IoT Internet of Things 物 联 网 

IPS Intrusion Prevention System 人 侵 防 御 系 统 
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IR Infrared Radiation 红外 辐射 

IrDA Infrared Data Association 红外 数据 协会 

ISO International Organization for Standardization 国际 标准 化 组 织 

IT Information Technology 信息 技术 

ITIL Information Technology Infrastructure Library 信息 技术 基础 架构 库 

ITSEC  _ Information Technology Security Evaluation Criteria 信息 技术 安全 评估 
标准 

ITSM IT Service Management 信息 技术 服务 管理 

ITU-T International lelecommunication Union lelecommunication Standardization Sector 
国际 电信 联盟 电信 标准 分 局 

KMCS Kernel Mode Code Signing 内 核 模 式 代 码 签 名 

k-NN kk-Nearest Neighbors Algorithm  &- 最 近邻 算法 

LAN Local Area Network 局域网 

LDAP Lightweight Directory Access Protocol 轻 量 级 目录 访问 协议 

LDM Logical Disk Manager 逻辑 磁盘 管理 需 

LED Light Emitting Diode 发光 二 极 管 

LSA Local Security Authority 本 地 安全 权威 中 心 

LSASS Local Security Authority Subsystem 本 地 安全 权威 子 系 统 

LTO Linear Tape-Open 线性 开放 式 人 磁 市 技术 

LVM Logical Volume Manager 逻辑 卷 管 理 需 

MAB MAC Authentication Bypass MAC 认证 劳 路 

MAC Media Access Control 介质 访问 控制 

MACSec Medium Access Control Security 介质 访问 控制 安全 

MAEC Malware Attribute Enumeration and Characterization 恶意 软件 属性 枚 举 
与 表征 

MAPP Microsoft Active Protections Program 微软 主动 保护 计划 

MBR Master Boot Record 主 引 导 记 录 

MCU Microcontroller Unit 微 控 制 需 

MIC Mandatory Integrity Control 强制 完整 性 控制 

MIPS Millions of Instructions Per Second 每 秒 百 万 条 指令 

MPU Micro Processor Unit 散人 入 式微 处 理 器 

MSRC Microsoft Security Response Center 微软 安全 啊 应 中 心 

NCSC National Computer Security Center (美国 ) 国 家 计算 机 安全 中 心 

NDIS Network Driver Interface Specification 网 络 驱 动 程序 接口 规范 

NIC Network Interface Card 网 络 接口 卡 

NIDS Network Intrusion Detection System 网络 入 侵 检测 系统 

NIST National Institute of Standards and Technology (美国 ) 国 家 标准 技术 人 研 
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NSA National Security Agency (美国 ) 国 家 安全 局 
NUDT National University of Defense Technology 国防 科技 大 学 
NUMA Non Uniform Memory Access 非 统 一 内 存 访 问 
ODBC Open Database Connectivity 开放 数据 库 连 接 
OMB Office of Management and Budget 管理 和 预算 办 公 室 
OPC Optical Printer Component 光学 打印 机 组 件 
OS Operating System 操作 系统 
OTP One Time Programmable 一 次 性 可 编程 
OVAL Open Vulnerability and Assessment Language 开放 式 脆弱 性 与 评估 语言 
PAC Privileged Access Control 特权 访问 控制 
PAN Personal Area Network 个 人 局 域 网 
PATA Parallel Advanced Technology Attachment 并 行 高 级 技术 附件 
PCA Program Compatibility Assistant 程序 碌 容 性 助手 
PCB Printed Circuit Board 印 制 电路 板 
PCMCIA Personal Computer Memory Card International Association 个 人 计算 
PDA Personal Digital Assistant 个 人 数字 助理 
PGP Pretty Good Privacy PGP 加 密 程 序 
PKI Public Key Infrastructure 公共 密 钥 基础 设施 
PMT Photo Multiplier Tube 光电 倍增 管 
PNAC Port-based Network Access Control 基于 端口 的 网 络 访问 控制 
PnP Plug and Play 即 搬 即 用 
PNRP Peer Name Resolution Protocol 对 等 体 名 称 解析 协议 
PP Protection Profile 保护 轮廓 
RADIUS Remote Authentication Dial-In User Service ”过程 身份 验证 拨 入 用 户 
服务 
RAID Redundant Arrays of Independent Drives 独立 磁盘 元 余 阵 列 
RAM Random Access Memory 随机 存 取 存 储 天 
RID Relative Identifier 相对 标识 符 
ROM Read Only Memory 只 庶 人 存储器 
RPM Revolutions Per Minute 转 每 分 
RPO Recovery Point Objective 恢复 点 目标 
RTF Rich Text Format 军 文 本 格式 
RTO Recovery Time Objective 恢复 时 间 日 标 
RTOS Real Time Operation System ”实时 操作 系统 
SACL System Access Control List 系统 访问 控制 列表 
SAM Security Account Manager 安全 账户 管理 需 
SAS Serial Attached SCSI 串 行 连接 的 SCSI 
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SATA Serial Advanced Technology Attachment 串 行 高 级 技术 附件 

SCADA Supervisory Control And Data Acquisition ”监视 控制 与 数据 采集 系统 

SCM Service Control Manager 服务 控制 管理 规 

SCP Service Control Program 服务 控制 程序 

SCSI Small Computer System Interface 小 型 计算 机 系统 接口 

SD Secure Digital 安全 数字 存储 卡 

SDDL Security Descriptor Definition Language 安全 描述 和 件 定 义 语言 

SEM Scenario Event Mapper 场景 事件 映射 露 

SID Security Identifier 安全 标识 符 

SIEM Security Information and Event Management 安全 信息 和 事件 管理 

SMART Self-Monitoring Analysis and Reporting Technology 月 我 监视 分 析 和 
报告 技术 

SOC System On Chip 片上 系统 

SOPC System On Programmable Chip 可 编程 片上 系统 

SPF Sender Policy Framework 发 件 人 胰 略 框架 

SPI Serial Peripheral Interface 串 行 外 设 接口 

SRAM Static Random Access Memory 毅 态 随机 存 取 存储 着 

SRM Security Reference Monitor 安全 引用 监视 需 

SSD Solid-State Drive 固态 驱动 级 

SSL Secure Sockets Layer 安全套 接 字 层 

ST _ Security Target 安全 目标 

STIX _ Structured Threat Information Expression 结构 化 威胁 信息 表达 式 

SVM Support Vector Machines 支持 问 量 机 

TAXII Trusted Automated eXchange of Indicator Information 可 信 的 自动 党 能 
信息 交换 

TCSEC Trusted Computer System Evaluation Criteria 可 信 计 算 机 系 乡 

TDI _ Transport Driver Interface 传输 驱动 程序 接口 

TDIX TDI eXtension TDI 扩展 

TFT-LCD Thin Film Transistor Liquid Crystal Display 薄膜 唱 体 管 液晶 显示 怖 

TLNPI Transport Layer Network Provider Interface 传输 层 网 络 提供 者 接口 

TLS Transport Layer Security 传输 层 安 全 

UAC User Account Control 用 户 账 户 控 制 

UEBA User and Entity Behavior Analytics 用 户 和 实体 行为 分 析 

UID User Identification 用 户 标 识 符 

UPS Uninterruptible Power Supply 不 间断 电源 

URL Uniform Resource Locator 统一 资源 定位 符 

USAF United States Air Force 美国 空 苗 

USB Universal Serial Bus 通用 串 行 总 线 
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USGCB United States Government Configuration Baseline 美国 政府 配置 基线 
VDS Virtual Disk Service 虚拟 磁盘 服务 

VGA Video Graphics Array 视频 图 形 阵 列 

VM Virtual Machine 虚拟 机 

WBEM Web-Based Enterprise Management 基于 Web 的 企业 管理 
WDI Windows Diagnostic Infrastructure Windows 诊断 基础 设施 
WER Windows Error Reporting Windows 错误 报告 

WFP Windows Filtering Platform Windows 过 滤 平 台 

WINS Windows Internet Name Service Windows Internet 名 称 服务 
WLAN Wireless LAN 无 线 局 域 网 

WMI Windows Management Instrumentation Windows 管理 设施 
WSK WinSock Kernel WinSock 内 核 

XML eXtensible Markup Language 可 扩展 标记 语言 
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